Как работает 152-ФЗ и кому нужно его соблюдать? – Market.CNews
|
Поделиться
Безопасность Бизнес Телеком Интернет Цифровизация ИТ в банках ИТ в госсекторе Ритейл Техника
Когда сайт собирает информацию о пользователях, его владелец считается оператором персональных данных.
Операторы должны соблюдать 152-ФЗ — закон «О персональных данных». Личный кабинет, форма сбора email на сайте или отслеживание геолокации — это все сбор персональных данных. Директор по клиентской безопасности компании Selectel Денис Полянский объясняет, что такое персональные данные и как обрабатывать их в соответствии с законом 152-ФЗ.
Федеральный закон №152 действует в России с 2007 г. В нем отражаются требования по защите персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.
152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть интернет-ресурсы, бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно идентифицировать человека.
Персональные данные, согласно 152-ФЗ, — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Например, ФИО, паспортные данные, телефон, электронный адрес.
В совокупности данные могут считаться персональными, а по отдельности — не всегда. Например, адрес электронной почты — это абстрактные данные. Но адрес почты «[email protected]», который принадлежит Петрову Петру Петровичу — персональные данные.
152-ФЗ регламентирует отношения между оператором данных и пользователямиНа заседании также обратили внимание на компании, занятые передачей трансграничных персональных данных. Скорее всего, этот сектор в ближайшее время ждут новые ограничения и санкции за несоблюдение мер безопасности.
Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам хранить данные на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.
Общедоступные. Данные, открытые неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ. Следует помнить, что данные, которые можно найти в интернете, не обязательно являются общедоступными (необходимо, чтобы пользователь дал согласие сделать их общедоступными).
Биометрические. Информация о физиологических и биологических особенностях человека, которые используются для идентификации. Отпечатки пальцев, образцы голоса и рисунок сетчатки глаз. Кровь, сданная для анализов, — не биометрические данные, потому что информация с результатами не используется для идентификации личности. Но отпечатки пальцев для входа в офис — уже биометрические данные, потому что узоры на пальце используются для опознания человека.
Специальные. Информация о судимостях и прохождении воинской службы, расовой и национальной принадлежности, политических и религиозных взглядах.
Иные. Данные, которые не упоминаются в других группах. Это ФИО, адрес, паспортные данные, электронная почта, стаж работы — данные, полученные с согласия субъекта. Такие данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.
Не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.
В мире социальных сетей и интернет-покупок персональные данные можно считать таковыми лишь частично. С ними постоянно взаимодействует множество сервисов, они обрабатываются и хранятся в самых разных условиях. Данные часто становятся товаром для бесплатных VPN и спам-сервисов.
Субъекты и операторы персональных данныхСубъект персональных данных — человек, чьи персональные данные обрабатывает оператор.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук и выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта). Значит, магазин становится оператором.
Оператор — это физическое лицо или организация (государственная или частная), которая обрабатывает данные, а также определяет цели обработки, состав данных и совершаемые с ними действия.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Исполнять требования 152-ФЗ должны не только банки и медицинские учреждения. Под действие закона попадают и другие информационные системы: интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.
Иногда компании не воспринимают требования 152-ФЗ всерьез и считают, что достаточно спросить пользователя про запись данных в cookie.
Но этого может быть достаточно до первой утечки данных или до проверки регулятором.
Меры для обеспечения технической защиты персональных данных прописаны в подзаконных актах 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК.
Например, сервисам, которые обрабатывают специальные категории персональных данных более 100 000 пользователей необходимо соблюдать защитные меры для систем второго уровня защищенности.
Для каждой системы должна быть разработана модель угроз. Например, криптографические средства защиты — необязательный пункт при защите персональных данных. Но они могут потребоваться, если есть угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз следует использование криптографических средства для шифрования электронных баз с персональными данными.
Причины, по которым персональные данные оказываются в открытом доступе, можно разделить на три уровня: персонала, приложения и инфраструктуры.
Отметим, что 152-ФЗ в основном направлен не на действия персонала, а на то, как компании должны организовать работу с конкретным типом данных.
Чаще всего причиной утечки данных становятся не вредоносные программы или уязвимости в инфраструктуре, а персонал. Иногда сотрудники раскрывают персональные данные случайно — во время общения с конкурентами или коллегами.
Бывают и случаи обычной халатности — например, незаблокированный экран или ноутбук. Также данные могут скопировать и унести на флешке, чтобы продать конкурентам.
Бороться с такими утечками следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.
Уровень приложенияПриложение может содержать массу уязвимостей. Обнаружение таких уязвимостей — ответственность оператора ПНд, владельца приложения. Поэтому провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может предотвратить утечку данных.
Например, вот как выглядит схема ответственности для услуги выделенные серверы Selectel.
| Ответственность клиента | Ответственность Selectel |
|---|---|
| Клиентские данные | Сетевое оборудование Selectel |
| Прикладное, связующее и системное программное обеспечение | Аппаратная инфраструктура |
| Сетевое оборудование заказчика | Средства обеспечения функционирования (электропитание, кондиционирование и т.д.) |
Когда клиент размещает у провайдера информационные системы или приложения с персональными данными, ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.
Выделенные серверы и облака проходят «раздельную» оценку эффективности мер защиты персональных данных по 152-ФЗ.
Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне можно хранить персональные, в том числе медицинские данные до 100 000 субъектов.
Для клиентов это не несет дополнительных затрат, поскольку является особенностью инфраструктуры компании.
В России мероприятия по оценке эффективности проводят специализированные организации, имеющие лицензии. Они проверяют инфраструктуру провайдера на соответствие уровню защиты. Проводится оценка организационных (документация, приказы и т.п.) и технических мер (настройка средств защиты и пр.).
Провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса.
Во время выбора провайдера оператору персональных данных стоит проверить наличие Акта оценки эффективности или Аттестата соответствия.
Хорошо, если компания публично разместила его прямо на сайте.
Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.
152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данныхВ аттестованном сегменте ЦОД клиент получает отдельные стойки с дополнительными камерами и электронными замками со стороны холодного и горячего коридоров.
В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном.
Клиент изолирует системы от других клиентов и сетей Selectel. Доступ в это пространство имеют только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.
Размещение в аттестованном сегменте ЦОД закрывает потребность клиента в полном контроле за безопасностью и упрощает аттестацию своей системы для операторов данных.
Поделиться
Короткая ссылка
Изменения в 152-ФЗ «О персональных данных» на 2021 год
Персональные данные разрешенные для распространения, новые требования и новые определения
Получите консультацию по составлению согласия на распространение персональных данных
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Сегодня в статье мы подробно рассмотрим изменения в 152-ФЗ «О персональных данных» на 2021 год.
17 ноября 2020г. депутатом Государственной Думы А. В. Горелкиным был внесен законопроект № 1057337-7 «О внесении изменений в Федеральный закон «О персональных данных»» в части особенностей обработки персональных данных, разрешенных субъектом персональных данных для распространения. Проект уже прошел все обсуждения и 30-го декабря был подписан президентом. В этой статье мы попробуем проанализировать какие-же изменения нас ждут уже в этом году в части обработки и защиты персональных данных.
Первое, что мы видим это новое определение, появившееся в ст. 3:
Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом
Т.е., по сути, определение общедоступные персональные данные заменили на персональные данные разрешенные для распространения.
Интересный момент заключается в том, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).
Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные, сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт, п. 10 ч.1 ст.6 был упразднён. Но взамен этого пункта, появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Первый пункт нововведенной статьи касается оформления согласия на обработку персональных данных и звучит он следующим образом:
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.Т.е., мы не видим требований к оформлению согласий в письменном виде, что значительно может упростить процесс их сбора, но об этом чуть позже.
В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности распространения или иной обработки лежит на каждом лице, осуществляющем их распространение или иную обработку.
Т.е. по факту ничего особенного не добавилось, оператор как и раньше должен доказать свое право на обработку ПДн своих субъектов и основания на такую обработку. В новой версии Федерального закона основания должны быть представлены в виде отдельного согласия на распространение .
Учитывая, что общедоступные источники никуда не делись, то возможно придется собирать уже два согласия. Одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе же на распространение.
Пока это лишь наша трактовка, но вероятность этого велика. В любом случае, после вступления закона в силу и возникновения подобных инцидентов нужно ждать позиции судов.
Интересный момент, что если по каким-то причинам ПДн оказались доступны неопределенному кругу лиц, то любое лицо осуществившее их распространение или иную обработку также должны предоставить доказательства законности последующего их распространения.
Если субъект ПДн дал согласие на обработку своих персональных данных, но из этого согласия не следует, что субъект ПДн согласился с распространением, такие персональные данные должны обрабатываться оператором без права распространения.
В новом законопроекте субъектам персональных данных дается возможность самим регулировать условия обработки, накладывать запреты на обработку своих ПДн, а также устанавливать запрет на передачу своих данных третьим лицам.
Интересный момент, что если сам бланк согласия не подразумевает полей устанавливающих запреты или не указаны перечень ПДн или категории ПДн для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным. Отказать в установлении запрета или ограничения в отношении распространения своих персональных данных оператор не имеет права. Более того Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов и условий обработки в срок не превышающий 3-х дней с момента получения соответствующего согласия.
На самом деле не совсем понятно, что имеется в виду под формулировкой «опубликовать», разместить информацию в ИС регулятора или же на собственном сайте, а может быть просто распечатать в завизировать соответствующий внутренний документ. Если кто-то уже разобрался в данном вопросе, напишите пожалуйста в комментариях Ваше мнение.
Получите первичную консультацию по составлению согласия на обработку персональных данных обратившись на почту hello@pdmaster.
ru или позвонив нам по номеру телефона +7 (495) 782-69-88
Как Оператору получить согласие на распространение персональных данных?
Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.
Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.
Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет.
Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.
Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.
Также требования новой статьи не применяются, если:
- Обработка персональных данных производится в целях выполнения норм законодательства РФ.
- Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.
Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта.
В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.
Еще немного изменений
Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.
Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.
На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.
Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.
Здесь можно задавать свои вопросы
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Самое важное в одном абзаце
Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись.
Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее – муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи.
Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
1.
При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
Соответствие сайта закону о персональных данных
01.07.2021
С 1 июля 2017 года сайт компании не может служить полноценным инструментом маркетинга, если не соответствует Федеральному закону № 152-ФЗ «О персональных данных».
Согласно закону, любые данные посетителей сайта определены как «персональные», включая cookies и адрес электронной почты. Владелец сайта — оператор персональных данных, в обязанности которого входит получение согласия на обработку персональных данных, защита персональных данных и выполнение других требований закона.
Нарушение 152-ФЗ грозит штрафом до 300 т.р. на организацию и 75 т.р. для руководителя (сводная таблица штрафов и видов ответственности). Кроме того, Роскомнадзор блокирует сайт до устранения нарушений. Вся процедура может занять несколько недель и сильно понизить рейтинг сайта в поисковых системах.
В первую очередь, в соответствие со 152-ФЗ свои сайты должны привести интернет-магазины, гостиницы, образовательные организации, порталы и другие компании, деятельность которых подразумевает работу с персональными данными посетителей.
Оформление политики конфиденциальности
Если на сайте компании собирается статистика посещений или посетители заполняют какие-либо формы обратной связи, с точки зрения закона компания должна предпринимать меры по защите информации и осуществлять:
- Сбор персональных данных;
- Обработку персональных данных;
- Хранение персональных данных;
Чтобы посетители осознанно дали разрешение на сбор их персональных данных на сайте, нужно оформить и разместить в открытом доступе Политику конфиденциальности или Соглашение на обработку персональных данных.
В Политику конфиденциальности или Соглашение о персональных данных рекомендуется включить основные разделы:
- Виды и типы собираемой информации о посетителях — пользователь сайта должен знать, какие данные собираются о нем на сайте, для каких целей они нужны и как будут использоваться, т. е. цели сбора и обработки информации;
- Обработка персональных данных — нужно разъяснить, как посетитель может получить доступ к своим персональным данным для их редактирования, сколько будет храниться эта информация и как ее удалить;
- Защита персональных данных — как построена система защиты персональных данных (СЗПДн), какие предприняты меры безопасности для обеспечения конфиденциальности посетителей и снижения угрозы хищения их персональных данных;
- Условия передачи информации третьим лицам — в каких случаях и с какими целями возможна передача третьей стороне персональных данных посетителей.
Соответствие сайта 152 ФЗ
Для соответствия сайта требованиям 152-ФЗ необходимо:
- Размещение сайта в дата-центре на территории России, с указанием точного адреса расположения серверов, на которых расположен сайт;
- Утвержденная приказом директора Политика конфиденциальности, с подробным указанием целей, способов и сроков сбора и обработки персональных данных пользователей;
- Открытый доступ к Политике на отдельной странице сайта и в офисе компании;
- Сопровождение всех форм для ввода данных на сайте ссылкой на Политику конфиденциальности или на Соглашение на обработку персональных данных и предупреждением, что заполнение формы является согласием пользователя со сбором и обработкой его персональных данных;
- Корректное сохранение всех логов с действиями посетителей сайта для возможности предоставить их по запросу государственных органов;
- Указание на сайте отдельного e-mail для принятия запросов об удалении персональных данных посетителей, с указанием срока ответов на запросы по удалению ПД;
- Установка предупреждающего баннера (дисклеймера) о том, что дальнейшее пользование сайтом означает согласие на сбор и обработку персональных данных, в том числе cookies;
- Уведомление Роскомнадзора об обработке ПД, с указанием адреса сервера и типов собираемых данных.
Для самостоятельного выполнения организацией всех требований закона «О персональных данных» может потребоваться несколько недель и обращение за консультацией к юристам. Эффективнее использовать опыт других компаний — мы умеем быстро подготавливать сайты к требованиям 152-ФЗ с помощью проверенных приемов и методик.
Наши преимущества
При подготовке сайта для соответствия требования закона «О персональных данных» мы руководствуемся:
- Проверенными методами выполнения на сайте требований 152-ФЗ;
- Нашей широкой экспертизой по обеспечению информационной безопасности компаний, включая выполнение закона «О персональных данных»;
- Знаниями по настройкам различных CMS;
- Опытом выполнения необходимых условий на десятках сайтов.
Мы снижаем риски наших клиентов, быстро и грамотно выполняя на их сайтах все необходимые требования.
+7 960 238-84-41
Перезвонить Вам?Заявка
в HelpDesk
Часто подаете заявки в Helpdesk через форму на сайте?
Попробуйте более удобный способ — мобильное приложение ITBOX!
Заявка
на услугу / проект
Мы гарантируем конфиденциальность и целевое использование
сообщаемой Вами информации!
Запрос на покупку Битрикс24
1С-Битрикс24: Корпоративный портал 50
Для оформиления покупки сообщите, пожалуйста, свои контактные данные:
Запрос на консультацию по Битрикс24
Сообщите, пожалуйста, свои контактные данные и удобное время для проведения консультации:
Запрос на отправку образца отчета
Сообщите, пожалуйста, свои контактные данные для отправки документа:
Обратный звонок
Сообщите, пожалуйста, свои контактные данные:
152-ФЗ обработка перс данных в инф системе: Перечень информации, подпадающий под понятие персональные данные людей, которые регистрируются на сайте, а также cookies, IP-адреса и ID посетителей сайта, обрабатываемых информационной системой
Консультация по персональным данным Заказчика по вопросам :
1) перечень персональных данных, обрабатываемых сайтом по ссылке
2) определение типа информационной системы Заказчика;
3) определение типа угроз, актуальных для информационной системы;
4) требования к защите, к уровню защищенности, необходимого для анализируемой информационной системы, необходимые документы;
5) оценка соблюдения норм Федерального закона «О персональных данных» от 27.
07.2006 N 152-ФЗ с рекомендациями по необходимым действиям для их соблюдения.
152-ФЗ: что такое сайт в сети «Интернет»
В п. 13 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» дано определение понятия сайт в сети «Интернет» – это совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
152-ФЗ: что такое Информационная система
В п. 3 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» понятие Информационная система определено как совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Для целей настоящего заключения можно говорить об информационной системе как совокупности технологического, информационного, коммуникационного компонентов и человеческих ресурсов, которые позволяют собирать, обрабатывать, хранить и распространять данные для достижения конкретных целей, в том числе персональные данные.
152-ФЗ: что такое Персональные данные
Перечень информации, подпадающий под понятие персональные данные, довольно обширен и не четко определен, кроме того разными органами даются разные правовые оценки данного определения.
В данный перечень стоит отнести данные людей, которые регистрируются на сайте, а также
- cookies,
- IP-адреса
- и ID посетителей сайта, которые обрабатываются информационной системой.
Стоит обратить внимание, что обычно имеется минимум две информационные системы (далее – ИС). Помимо ИС «CRM», имеется ИС «Бухгалтерия», «Предприятие», «Кадры», «Склад», которая имеет ряд особенностей.
Cписок персональных данных ИС «Бухгалтерия и кадры» состоит из других элементов.
В него входит совокупность данных:
- ФИО,
- место,
- дата рождения,
- место постоянной или временной регистрации,
- фотография или видеозапись человека, позволяющие идентифицировать человека,
- сведения о детях, семейном положении,
- сведения о заработной плате,
- информация о судимостях, или их отсутствии,
- номер телефона,
- адрес электронной почты,
- иные идентификаторы в соц. сетях или мессенджерах,
- паспортные данные,
- СНИЛС,
- ИНН,
- фотографии и другая информация, которая относится прямо или косвенно к определенному или определяемому работнику.
Отметим, что некоторые из перечисленных данных приобретают статус персональных данных лишь при наличии и других данных, например, ИНН, адрес электронной почты, если не состоит из имени и фамилии и т.д.
В соответствии с п.
5 Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП №1119) и представленной Заказчиком информации можно сделать вывод, что ИС Заказчика – это информационная система, обрабатывающая иные категории персональных данных и персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. ИС «Бухгалтерия и кадры» – это информационная система, обрабатывающая персональные данные сотрудников оператора и биометрические персональные данные, в случае обработки паспортов работников, включая фотографии в них, если же обработка биометрических данных отсутствует, то будет считаться ИС, обрабатывающая персональные данные сотрудников оператора и иные категории персональных данных.
Также следует отметить применение Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г.
N 687). Согласно представленной информации при работе ИС «Клиенты» не происходит использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных непосредственно при участии человека, что стоит трактовать так, что информационная система персональных данных функционирует с использованием средств автоматизации и потому данное положение к ней не относится.
Данная оценка не распространяется на вторую информационную систему (Бухгалтерия и кадры). Согласно предоставленной анкете использование, уточнение, распространение, уничтожение персональных данных осуществляются при непосредственном участии человека, что свидетельствует о том, что данная информационной система считается функционирующей без использования средств автоматизации, и к ней нормы обсуждаемого положения применимы.
С момента вступления в силу ПП №1119 типы угроз, которые необходимы для установления уровня защищенности, не связываются с видом информационной системы.
В п.6 ПП №1119 устанавливает угрозы 3-х типов, а именно:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно п.7 ПП №1119 определение, к какому типу относится угроза, возложено на оператора. При этом определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.
1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».
Например, организация может задокументировать выбранный тип угроз с помощью создания комиссии, которая утверждает такой тип для всей организации или для конкретной ИС.
В соответствии с Руководящим документом «Защита от несанкционированного доступа к информации» Ч.1 (утв. решением Государственной технической комиссии при Президенте РФ от 4 июня 1999 г. N 114) недекларированные возможности — это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
С учётом предоставленной информации и всего вышеизложенного можно предположить о соответствии ИС Заказчика критериям угрозы 3-го типа.
С целью ответа на п.4 следует проанализировать п.8 ПП №1119, который устанавливает четыре уровня защищенности.
Категории ПДн | Специальные | Биометрические | Иные | Общедоступные | |||||||
Собственные работники | нет | нет | да | нет | нет | да | нет | нет | да | ||
Количество субъектов | Более 100 тыс | До 100 тыс | Более 100 тыс | До 100 тыс | Более 100 тыс | До 100 тыс | |||||
Тип актуальных угроз | 1 | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ |
2 | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | |
3 | 2 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | |
Требования к уровню защищенности определяются по нескольким критериям:
- Тип угрозы.
- Категория персональных данных обрабатываемая информационной системой.
- Количество субъектов персональных данных.
С учётом предоставленных показателей можно говорить о том, что Заказчику необходим 3 или 4 уровень защищенности. Для точного установления необходим такой показатель, как количество субъектов персональных данных обрабатываемых информационной системой. В случае, если количество субъектов более 100 000, то необходим 3-ый уровень защищенности, а если менее 100 000, то достаточно будет 4-го уровня.
Субъекты персональных данных представляют собой физические лица, которых можно определить по имеющимся в ИС персональным данным.
Правовая оценка не распространяется на информационную систему «Бухгалтерия и кадры», которая в случае обработки фотографий и иных биометрических данных будет однозначно отнесена к системе с необходимостью обеспечения 3-го уровня защищенности.
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; — в списке необходимой документации присутствует.
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе (в перечне необходимых документов имеется).
Более детально информация приведена ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных. Именно в этом документе четко прописано, что нужно обеспечить для ИС с 4, 3, 2 и 1 уровнем защищенности.
Список требуемой документации согласно нормам российского права:
1) политика организации в отношении защиты персональных данных – согласно п.
2 ч. 1 ст. 18.1 ФЗ «О персональных данных». Уже имеется у Заказчика.
2) локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений – п. 2 ч. 1 ст. 18.1 ФЗ.
3) приказ о назначении лиц, ответственных за обработку и защиту персональных данных – согласно п. 1 ч. 1 ст. 18.1, ст. 22.1 ФЗ «О персональных данных» и п. 13 ПП №1119.
4) приказ о допуске работников к обработке персональных данных – согласно п. 8 ч. 2 ст. 19 ФЗ «О персональных данных», пп. «в» п. 13 ПП №1119.
5) договор с третьим лицом, которому оператор поручает обработку персональных данных, или которым передает персональные данные – при наличии такой передачи. В соответствии с представленной информацией такой договор имеет место быть. В ч. 3 ст. 6 ФЗ «О персональных данных» установлены требования к там договорам.
6) правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных – согласно пп.
8 ч.2 ст. 19 ФЗ «О персональных данных».
7) акты внутреннего аудита обработки персональных данных – согласно пп. 4 ч. 1 ст. 18.1 ФЗ «О персональных данных».
8) документ, подтверждающий, что работник и их представители были ознакомлены с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области – согласно ст. 86 ТК РФ.
Также в связи с наличием информационной системы «Бухгалтерия и кадры» следует отметить обязанность по обеспечению наличия дополнительно таких документов:
1) положение о порядке обработки персональных данных работников – согласно п. 8 ст. 86 Трудового Кодекса РФ;
2) положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации – согласно п.п. 3, 8, 15 Постановление Правительства N 687;
3) согласие на обработку персональных данных работников для их дальнейшего распространения – согласно ст. 10.1 ФЗ «О персональных данных».
Заключение:
В зависимости от субъектов персональных данных и определения уровня защищенности рекомендуется обеспечить необходимый уровень защищенности.
Следует сверить наличие всех необходимых документов или обеспечить их составление с целью соответствия нормам ФЗ «О персональных данных».
Также Заказчику следует обратить внимание на согласие на обработку персональных данных. Так при обработке персональных данных зарегистрированных или регистрирующих пользователей можно ссылаться на конклюдентные действия, на надпись: «Регистрируясь на сайте, ты соглашаешься с публичным договором и политикой конфиденциальности сайта», а также на толкование ст. 6 ФЗ «О персональных данных», по которому согласие, необходимое для исполнения договора или для заключения договора, не требуется. Но такое согласие необходимо и на обработку иных персональных данных, например, IP адрес, файлы из cookies и т.д.
Согласно п.1 ст. 9 ФЗ «О персональных данных» согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Заказчику можно исходить из того, что Пользователь при самостоятельном посещении сайта без регистрации на нём, тем самым инициирующий использование сайта, сознательно определяет свои запросы и контролирует технические параметры используемого им оборудования, а также ознакомился с Вашей Политикой конфиденциальности в полном объеме. Кроме того, возможны другие варианты. Так, используют подход проставления отметки в электронном виде о согласии на обработку персональных данных или метод создания уведомления о том, что дальнейшее использование сайта соответствует согласию на обработку cookies, IP адрес и т.д.
Следует отметить, что необходимо письменное согласие (или приравниваемое к таковому) в ряде случаев, например, если собирается информация о расовой или национальной принадлежности, политических взглядах, о мировоззрении и об убеждениях, о здоровье или личной жизни, обрабатываются биометрические персональные данные или при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты.
В связи с наличием ИС «Бухгалтерия и кадры» следует отметить, что работодатель не имеет право обрабатывать данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в силу п.4 ст. 86 ТК.
Следует также обратить внимание, что для владельца сайта, имеющего хоть одну форму для сбора ПД, необходимо соблюсти ряд условий: обеспечить размещение сайта на хостинге, соответствующем 152-ФЗ; обеспечить сайт антивирусной защитой; оснастить системой обнаружения вторжений (СОВ), средствами контроля уязвимостей. Данные требования могут быть реализованы как самостоятельно, так и путем приобретения данной услуги как сервис (аутсорсинг).
Приложение 1
Пример схемы организации защиты для 3 класса ИС:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора.
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.
ИАФ.5 Защита обратной связи при вводе аутентификационной информации.
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).
- Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей.
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИС, а также между ИС.
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС.
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС.
УПД.6 Ограничение неуспешных попыток входа в ИС (доступа к ИС).
УПД.10 Блокирование сеанса доступа в ИС после установленного времени бездействия (неактивности) пользователя или по его запросу.
УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.
УПД.14 Регламентация и контроль использования в ИС технологий беспроводного доступа.
УПД.15 Регламентация и контроль использования в ИС мобильных технических средств.
УПД.16 Управление взаимодействием с ИС сторонних организаций (внешние ИС).
- Ограничение программной среды (ОПС)
- Защита машинных носителей персональных данных (ЗНИ)
ЗНИ.
8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.
- Регистрация событий безопасности (РСБ)
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения.
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.
РСБ.7 Защита информации о событиях безопасности.
- Антивирусная защита (АВЗ)
АВЗ.1 Реализация антивирусной защиты.
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
- Обнаружение вторжений (СОВ)
- Контроль (анализ) защищенности персональных данных (АРЗ)
АРЗ.1 Выявление, анализ уязвимостей ИС и оперативное устранение вновь выявленных уязвимостей.
АРЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
АРЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
АРЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации.
- Обеспечение целостности ИС и персональных данных (ОЦЛ)
- Обеспечение доступности персональных данных (ОДТ)
- Защита среды виртуализации (ЗСВ)
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации.
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре.
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре.
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей.
- Защита технических средств (ЗТС)
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования ИС, в помещения и сооружения, в которых они установлены.
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.
- Защита ИС, ее средств, систем связи и передачи данных (3ИС)
ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.
ЗИС.20 Защита беспроводных соединений, применяемых в ИС.
- Выявление инцидентов и реагирование на них (ИНЦ)
- Управление конфигурацией ИС и системы защиты персональных данных (УКФ)
УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИС и системы защиты персональных данных.
УКФ.2 Управление изменениями конфигурации ИС и системы защиты персональных данных.
УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации ИС и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации ИС с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных.
УКФ.4 Документирование информации (данных) об изменениях в конфигурации ИС и системы защиты персональных данных.
ПЛЮС | FAQ по защите персональных данных
- Подпадают ли системы видеонаблюдения под ФЗ-152?
-
Давайте разберем ситуацию.
Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность».
Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их использования для идентификации субъекта.
Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.
Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.
Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения.
Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.
ВЫВОДЫ:
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
- Если информационную систему администрируют работники другого юридического лица, без допуска к самим данным, это юрлицо все равно является оператором?
-
Нет, в этом случае юридическое лицо, осуществляющее администрирование системы не является оператором персональных данных, так как, во-первых, не оно установило цели обработки информации, во-вторых, оно не обрабатывает сами персональные данные, а только обслуживает оборудование информационной сети, в-третьих, не имеет доступа к этим персональным данным.
Правда, при этом необходимо четко доказать, что администратор сети не имеет доступа к самой информации (как правило, системный администратор в силу своих обязанностей имеет доступ ко всей информации в информационной системе и необходимо применение специальных технических и программных средств, исключающих такую возможность, так называемая «защита от инсайдера»). - Всегда ли необходимо применять криптосредства при передаче персональных данных по каналам связи?
-
Вопрос применять или не применять криптосредства лежит в компетенции Оператора исходя из целей и технологии обработки персональных данных. При передаче обезличенных персональных данных такие требования, скорее всего, применяться не будут.
Если в описании процесса обработки ПДн будет указано, что по каналам связи передаются обезличенные персональные данные, то применять криптосредства, очевидно, не обязательно. Вопрос в том, устроит ли передача именно обезличенных данных самого Оператора, и каким образом они будут обрабатываться в дальнейшем.
- Способы передачи персональных данных, осуществляемые в рамках одной компании, но между различными филиалами?
-
Зависит от выбора Оператором варианта построения (сегментирования) ИСПДн.
1. Можно объявить всю филиальную сеть единой ИСПДн, с необходимостью защиты центра, каналов связи и филиалов с выполнением всех обязательных требований по защите персональных данных одновременно ко всем элементам.
2. Выполнить сегментирование, т.е. разделить на сегменты центр и отдельные филиалы, объединив их каналами связи. В этом случае защищаются по отдельности центр и филиалы (возможно с выполнением различных требований), отделяются с помощью межсетевых экранов, а требования относительно защиты каналов связи могут быть предъявлены провайдерам, либо может использоваться шифрование при передаче информации по открытым каналам.
- Возможно ли, теоретически и практически, снижение категории ИСПДн для систем, обрабатывающих медицинские данные?
-
Да, такие прецеденты имеют место.
Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИСПДн в рамках информационной системы (ИС) в целом. - Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?
-
Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону.
Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ). - Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?
-
Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены.
Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь. - В нормативных документах РФ, имеющих отношение к обработке ПД, а также близких к ним документах всплывают термины: Информационная система, Подсистема, Автоматизированная система, Информационный ресурс. Причем в некоторых документах есть определения этих т
-
1. Вообще-то в целом, все термины коррелируют. Действительно, некоторые термины могут иметь разный смысл. С этой целью каждый федеральный закон содержит статью «ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ», в которой и дается толкование того или иного термина применительно к положениям данного закона. В этом случае надо исходить из духа, а не буквы закона.
2. Есть целый ряд стандартов работающих в этой предметной области, например, ГОСТ Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации», ГОСТ Р 50922-96 «Защита информации. Термины и определения», ГОСТ Р 516240-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие.
3. Наконец, есть «Сборник терминов и определений. Информационная безопасность и защита информации»
Дать конкретный ответ по этому вопросу невозможно. Провести детальный анализ всех представленных документов и имеющихся в них терминах потребует много времени. Надо говорить о конкретных терминах. Если будет список терминов, требующих разъяснения – можно сделать анализ отдельно. В принципе всегда действует правило: термин в старшем документе – более правильный. Таким образом за основу надо брать цепочку: Конституция – кодекс – федеральный закон – национальный стандарт – отраслевой стандарт, руководящий документ, ведомственный приказ – словарь – прочие источники.
- Распространяется ли закон №152-ФЗ на персональные данные иностранных граждан?
-
Да, распространяется.
- Существуют ли какие-либо дополнительные аспекты в отношении персональных данных граждан иностранных государств, отличных от требований, предъявляемых в отношении российских граждан?
-
Если они находятся на территории Российской федерации – нет не существуют. Они в силу ГК РФ пользуются равными правами с гражданами России.
Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.
Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.
Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя.
При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.
Правда, при этом необходимо четко доказать, что администратор сети не имеет доступа к самой информации (как правило, системный администратор в силу своих обязанностей имеет доступ ко всей информации в информационной системе и необходимо применение специальных технических и программных средств, исключающих такую возможность, так называемая «защита от инсайдера»).
Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИСПДн в рамках информационной системы (ИС) в целом.
Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).
Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.
Закон РФ о персональных данных: обзор
Одной из самых популярных услуг, предлагаемых облачными провайдерами, является облако в соответствии с Федеральным законом 152-ФЗ. Услуга особенно полезна для иностранных компаний, ведущих бизнес в России. Облако ФЗ-152 — защищенное частное облако, в котором можно надежно хранить личные данные клиентов или сотрудников.
В этой статье мы освещаем основные пункты закона о защите персональных данных, почему важно его соблюдать и что такое облако ФЗ-152.
Что такое закон ФЗ-152?
Федеральный закон № 152-ФЗ «О персональных данных» эквивалентен Европейскому общему регламенту о защите персональных данных (GDPR) с некоторыми отличиями. Он охватывает все виды деятельности, связанные с обработкой и использованием информации, относящейся к конкретному лицу. Это включает в себя полное имя, адрес, номер телефона, фотографию и аналогичные данные. Действие закона распространяется как на органы государственной власти, так и на юридических и физических лиц (за исключением личных и семейных нужд).
Таким образом, действие закона распространяется на любые организации, хранящие информацию о клиентах, а также на сайты, собирающие данные о посетителях. Согласно законодательству сбор и обработка персональных данных могут осуществляться только с согласия человека.
К хранению персональных данных предъявляются самые высокие требования, поэтому остановимся на этом вопросе подробнее:
Необходимо хранить тот объем данных, которого достаточно для обработки.
Количество информации должно быть достаточным для идентификации субъекта.
Если данных недостаточно или они содержат ошибки, данные необходимо уточнить или удалить.
Личная информация, собранная для разных целей, не должна объединяться.
После обработки персональные данные подлежат уничтожению или обезличиванию.
При передаче данных в другую страну вы должны обеспечить наличие необходимой системы защиты и согласие субъекта данных на это.
По закону ФЗ-152 оператор несет полную ответственность за все, что происходит с персональными данными. Он применяется, даже если информация попадает к другим сторонам для обработки данных или из-за утечки. Поэтому личные данные должны храниться только на защищенных серверах. В зависимости от уровня безопасности выделяют четыре категории серверов:
УЗ -1 – это высший уровень защиты специальных данных, использование которых во вредоносных целях может нанести серьезный ущерб.
Это может включать информацию о расе и национальном происхождении, политических и религиозных взглядах, состоянии здоровья и т. д.
УЗ -2 — данный уровень предназначен для хранения биометрических данных. Для обеспечения этого уровня необходимы регулярные резервные копии и системы защиты от взлома.
УЗ -3 предназначен для хранения всех остальных данных. В этом случае достаточно ограниченного доступа к хранилищу.
УЗ -4 самый низкий уровень. Публичные данные могут храниться на таких серверах. Для обеспечения безопасности может быть достаточно антивирусного решения.
Требований безопасности к серверам более сотни, но стоит упомянуть самые распространенные из них:
Серверы должны находиться в безопасном месте.
Должно быть невозможно подключиться к ним напрямую.
Только те, у кого есть соответствующие права, должны иметь доступ к данным.
Использование сертифицированных средств защиты от угроз.
Риски несоблюдения
Поскольку какие-то данные собирает практически любая компания, вопрос соблюдения ФЗ-152 касается любого бизнеса. Несоблюдение норм хранения и переработки влечет за собой административную, уголовную и гражданско-правовую ответственность.
27 марта 2021 года вступил в силу Федеральный закон, значительно ужесточивший штрафы за утечку персональных данных.
Обратите внимание на следующие новшества:
- Любые правонарушения при обработке персональных данных теперь будут немедленно штрафоваться. Раньше было только предупреждение.
- Теперь повторное нарушение будет квалифицироваться как самостоятельное правонарушение и штрафы за него будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юридическое лицо запрашивает персональные данные, не соответствующие цели сбора, оно должно выплатить штраф в размере от 60 000 до 100 000 рублей за первое нарушение и штраф в размере от 100 000 до 300 000 рублей за повторное нарушение.
Облако ФЗ-152
Если обеспечить соответствие требованиям УЗ-4 и даже УЗ-3 несложно, то добиться более высоких уровней защиты довольно сложно. Это потребует много времени и финансовых вложений, так как нужно специальное оборудование, лицензионное ПО и квалифицированные сотрудники, которые смогут все правильно настроить. Чтобы сэкономить деньги и обеспечить соблюдение закона, вы можете использовать облако.
Облачные провайдеры, в частности Cloud4Y, предлагают услугу Cloud FZ-152. Это готовое решение, позволяющее легко соблюсти требования 152-го ФЗ. Cloud4Y принимает все организационные и технические меры для обеспечения защиты персональных данных от несанкционированного доступа. Оператор имеет сертификаты УЗ1-4, 1К, 1Г, средства защиты информации, лицензированные ФСБ и ФСТЭК, все необходимые сертификаты и лицензии.
облако fz 152 облачный сервер
Полис
Агрегион приостановил все операции в России.
Подробнее
Продукты
Продукты
DataLabs & CleanRoom
Создание и запуск моделей на основе совместных данных в безопасной среде
Платформа и коммуникации данных клиентов
Одно платформа для сотрудничества
на данных клиента
Решения
Розничная торговля
CPG
Банки и финансовые услуги
Телекоммуникации
Media
Technology
Ресурсы
Ресурсы
ТЕХКОЕ ИССЛЕДОВАНИЯ
У вас есть настраиваемая платформа для сотрудничества на Data
Ресурсы и документы
.
Новости
У вас есть индивидуальная платформа для совместной работы над вашими данными
Компания
О нас
Карьера
Вакансии
1. Общие положения Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.
07.2006. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «А-Платформа» (далее — как Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) распространяется на всю информацию, которую Оператор может получить о посетителях сайта https://webflow.aggregion.com.
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по адресу https://webflow.aggregion.com.
2.4. Информационная система персональных данных – совокупность персональных данных, содержащихся в базах данных и обеспечивающих их обработку информационными технологиями и техническими средствами.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю или иным субъектам персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
2.
7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю сайта https://webflow.aggregion.com.
2.9. Персональными данными, разрешенными субъектом персональных данных к распространению, являются персональные данные, доступ к которым предоставляется субъектом персональных данных путем предоставления согласия на обработку персональных данных, разрешенного субъектом персональных данных к распространению в порядке, установленном Персональными данными. Закон о данных (далее — персональные данные, разрешенные к распространению).
2.
10. Пользователь – любой посетитель сайта https://webflow.aggregion.com.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) либо на ознакомление с персональными данными неограниченного круга лиц, в том числе раскрытие персональных данных в средствах массовой информации, размещение в информационных и телекоммуникационных сетей или предоставления доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожения материальных носителей персональных данных.
3.1. Оператор имеет право: получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные; в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор имеет право продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных; — самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных персональными данными Закон и принятые им нормативные правовые акты, если иное не установлено Законом о персональных данных или иными федеральными законами.
3.2. Оператор обязан:
— предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;
— организовать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней со дня получения такого запроса;
— опубликовать или иным образом предоставить неограниченный доступ к настоящей Политике обработки персональных данных;
— принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожение персональных данных в порядке и случаях, предусмотренных Законом о персональных данных;
— выполнять другие обязанности, предусмотренные Законом о персональных данных.
4.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Информация предоставляется субъекту персональных данных Оператором в доступной форме и не должна содержать персональные данные, относящиеся к иным субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных. Перечень информации и порядок ее получения устанавливаются Законом о персональных данных;
— требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принять меры, предусмотренные по закону защищать свои права;
— выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения товаров, работ, услуг на рынке;
— отозвать согласие на обработку персональных данных;
— обжалование в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерных действий или бездействия Оператора при обработке его персональных данных;
— осуществлять иные права, предусмотренные законодательством Российской Федерации.
4.2. Субъекты персональных данных обязаны:
— предоставлять Оператору достоверные данные о себе;
— сообщить Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, предоставившие Оператору заведомо ложные сведения о себе или сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
5.1. Фамилия, имя, отчество.
5.2. Адрес электронной почты.
5.3. Телефонные номера.
5.4. Сайт также собирает и обрабатывает обезличенные данные о посетителях (включая файлы cookie) с помощью сервисов интернет-статистики (Яндекс Метрика и Google Analytics и другие).
5.5. Вышеуказанные данные дополнительно объединены общим понятием Персональные данные.
5.
6. Оператор не обрабатывает специальные категории персональных данных, связанные с расой, национальностью, политическими взглядами, религиозными или философскими убеждениями, интимной жизнью.
5.7. Обработка персональных данных, разрешенных к распространению, из числа особых категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных допускается, если запреты и условия предусмотрены ст. 10.1 Закона о персональных данных.
5.8. Согласие Пользователя на обработку персональных данных, разрешённых к распространению, оформляется отдельно от иных согласий на обработку его персональных данных. При этом условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.8.1 Пользователь дает согласие на обработку своих персональных данных, разрешенных к распространению, непосредственно Оператору.
5.8.2 Оператор обязан опубликовать информацию об условиях обработки, запретах, условиях обработки неограниченным кругом лиц персональных данных, разрешенных к распространению, не позднее трех рабочих дней с даты получения Пользователем согласие.
5.8.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных к распространению, может быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно содержать фамилию, имя, отчество (при его наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, подлежащих удалению. Персональные данные, указанные в настоящем требовании, могут обрабатываться только Оператором, которому они направляются.
5.8.4 Согласие на обработку персональных данных, разрешённых к распространению, прекращает свое действие с момента получения Оператором требования, указанного в п.
5.8.3 настоящей Политики обработки персональных данных.
6.1. Обработка персональных данных осуществляется на законной и добросовестной основе
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая со сбором персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обрабатываемые в целях, несовместимых друг с другом.
6.4. Обработке подлежат только персональные данные, соответствующие целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных относительно заявленных целей их обработки.
6.6. При обработке персональных данных обеспечиваются достоверность персональных данных, их достаточность, а при необходимости и соответствие целям обработки персональных данных.
Оператор принимает необходимые меры и/или обеспечивает их принятие для удаления или уточнения неполных или недостоверных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуется целями обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки либо в случае утраты необходимости в достижении этих целей, если иное не установлено федеральным законом.
7.1. Цель обработки персональных данных Пользователя:
— информирование Пользователя путем направления электронных писем.
7.2. Также Оператор вправе направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях.
Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору электронное письмо на адрес [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
7.3. Анонимные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
8.1. Правовыми основаниями обработки персональных данных Оператором являются:
— согласие Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенную к распространению;
— федеральные законы, иные нормативные правовые акты в области защиты персональных данных;
— согласие Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных к распространению.
8.2.
Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://webflow.aggregion.com, либо направленные Оператору по электронной почте. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь соглашается с настоящей Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе, если это разрешено в настройках браузера Пользователя (сохраняются файлы cookie и включена технология JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе.
9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.
2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления функций, полномочий и обязанностей, возложенных на оператора законодательством Российской Федерации.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта иного органа или должностного лица, подлежащего исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
9.5. Обработка персональных данных необходима для реализации прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что права и свободы субъекта персональных данных не нарушаются.
9.6. Обрабатываются персональные данные, доступ к которым предоставляется субъектом персональных данных или по его запросу (далее — общедоступные персональные данные).
9.7. Обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для полного соблюдения с требованиями действующего законодательства в области защиты персональных данных.
10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры для исключения доступа к персональным данным посторонних лиц.
10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства или если субъект персональных данных дал согласие Оператору на передачу данных третьему лицу для исполнения обязательств.
по гражданско-правовому договору.
10.3. В случае выявления неточностей в персональных данных Пользователь может актуализировать их самостоятельно, направив Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых осуществлялся сбор персональных данных, если иное не предусмотрено договором или действующим законодательством.
Пользователь может в любое время отозвать свое согласие на обработку персональных данных, направив электронное уведомление на адрес электронной почты Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, собираемая сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается этими лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности.
Субъект персональных данных и/или Пользователь обязан своевременно ознакомиться с указанными документами. Оператор не несет ответственности за действия третьих лиц, в том числе указанных в настоящем пункте.
10.6. Запреты, установленные субъектом персональных данных на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме доступа) персональных данных, разрешенных к распространению, не применяются в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
10.7. Оператор обеспечивает конфиденциальность персональных данных при обработке персональных данных.
10.8. Оператор хранит персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, к которому субъект персональных данных является стороной, выгодоприобретателем или поручителем.
10.9. Условием прекращения обработки персональных данных может быть достижение целей обработки персональных данных, истечение срока согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерных обработка персональных данных.
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением или без получения и/или передачи полученной информации по информационно-телекоммуникационным сетям.
12.1. Перед началом трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранное государство, в которое предполагается передача персональных данных, обеспечивает надежную защиту прав субъектов персональных данных.
12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнение договора, стороной которого является субъект персональных данных.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено по федеральному закону.
14.1. Получить любые разъяснения по интересующим вопросам, связанным с обработкой его персональных данных, Пользователь может, обратившись к Оператору по электронной почте [email protected].
14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператора.
Политика действует бессрочно, пока не будет заменена новой версией.
14.3. Действующая редакция Политики находится в свободном доступе в сети Интернет по адресу https://webflow.aggregion.com.
Российские требования к локализации персональных данных — соответствие Microsoft
Обратная связь
Твиттер LinkedIn Фейсбук Эл. адрес
- Статья
- 3 минуты на чтение
С 1 сентября 2015 года организации, являющиеся операторами персональных данных, обязаны обеспечить при сборе персональных данных регистрацию, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации посредством базы данных, расположенные в России («требование о локализации персональных данных»).
1
Услуги Microsoft, доступные для организаций (включая, помимо прочего, образовательные учреждения) (далее именуемые «заказчик»), в том числе обеспечивающие обработку персональных данных, такие как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, предоставляются из центров обработки данных, расположенных за пределами России (для получения дополнительной информации посетите Центр управления безопасностью Microsoft).
В зависимости от типа и содержания информации, обрабатываемой информационными системами клиентов, такие системы, в том числе использующие облачные продукты Microsoft, могут считаться информационной системой персональных данных («ИСПД», «ИСПД»). В тех случаях, когда клиент хотел бы использовать службы Microsoft в системе, которая квалифицируется как PDIS по своей архитектуре и типам обрабатываемой информации, Microsoft предлагает своим клиентам рассмотреть, среди прочего, доступные решения, указанные ниже. Все представленные сценарии доступны клиентам в качестве дополнительной опции к стандартным бизнес-предложениям.
Следует отметить, что именно заказчик как оператор персональных данных ИСПД несет ответственность за соблюдение и должен анализировать и оценивать применимые законодательные требования к локализации персональных данных и по своему усмотрению самостоятельно определять достаточные меры для обеспечения того, чтобы персональные обработка данных в ИСПД осуществляется в соответствии с российским законодательством о персональных данных. 2
Подписка на службы Microsoft
Управление Microsoft ID
Microsoft предлагает клиентам рассмотреть возможность подписки на службы Microsoft; Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform — через партнера Microsoft Cloud Solution Provider (CSP). Дополнительные сведения см. в этом списке партнеров CSP.
Управление идентификацией пользователей и доступом для служб Microsoft
Для служб Microsoft, таких как Microsoft Azure, Microsoft 365, Dynamics 365 и Power Platform, проверка пользователей и управление доступом выполняются через Azure Active Directory (Azure Active Directory).
В тех случаях, когда клиент Microsoft использует локальную систему управления идентификацией для облачных служб Microsoft (например, Windows Server Active Directory (AD) или любую другую систему управления идентификаторами), у клиента есть возможность быстро интегрировать такую систему с Azure Active Directory. (Azure Active Directory) через Azure AD Connect. Дополнительные сведения см. в разделе Azure AD Connect. Клиенты Microsoft также могут рассмотреть возможность использования приложений и решений сторонних поставщиков для управления своими пользователями и интеграции своей локальной системы идентификации с Azure AD.
Используйте Microsoft Purview Compliance Manager для оценки рисков
Microsoft Purview Compliance Manager — это функция на портале соответствия Microsoft Purview, которая помогает вам понять состояние вашей организации в области соответствия и принять меры для снижения рисков. Compliance Manager предлагает премиум-шаблон для создания оценки для этого правила.
Найдите шаблон на странице шаблонов оценки в диспетчере соответствия требованиям. Узнайте, как создавать оценки в диспетчере соответствия требованиям.
Вопросы и поддержка
По техническим вопросам и вопросам оплаты обращайтесь к ресурсам службы поддержки Microsoft ниже. За дополнительными вопросами или разъяснениями обращайтесь в группу конфиденциальности Майкрософт.
Microsoft Azure
- Веб-сайт : поддержка Microsoft Azure
- Бесплатный номер : 8 800 200 8001
- Местный номер : 495 916 7171
- Онлайн-поддержка : отправка запросов через портал Azure
Microsoft 365
- Бесплатный номер : 8 10 800 2548 1044
- Местный номер : 499 922 8623
- Онлайн-поддержка : отправка запросов через центр администрирования
Dynamics 365
- Бесплатный номер : 8 10 800 2548 1044
- Местный номер : 499 922 8623
- Онлайн-поддержка : отправка запросов через портал поддержки Dynamics
Силовая платформа
- Бесплатный номер : 8 10 800 2548 1044
- Местный номер : 499 922 8623
- Онлайн-поддержка : отправка запросов через службу поддержки Power Platform
Примечание
1 Федеральный закон № 242-ФЗ (ред. от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации об уточнении порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 .2014
2 Федеральный закон от 27.07.2015 № 152-ФЗ «О персональных данных». 2006
Обратная связь
Отправить и просмотреть отзыв для
Этот продукт Эта страница
Просмотреть все отзывы о странице
Политика обработки персональных данных — РИТ ИТ
Настоящая политика обработки персональных данных разработана в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и распространяется на все персональные данные обрабатывается переработчиком – ООО «РусИнТех Сервис».
1. Сведения об обработчике данных:
Наименование: Общество с ограниченной ответственностью «РусИнТех Сервис» (ООО «РусИнТех Сервис»).
Юридический адрес: 630024, Россия, г. Новосибирск, ул. 15, этаж №1 цоколь/помещения 1-11
2. Правовая основа обработки персональных данных:
Обработка персональных данных осуществляется в объеме и в сроки, установленные нормативными правовыми актами Российской Федерации:
– Трудовой кодекс Российской Федерации;
– Налоговый кодекс Российской Федерации;
– Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
– Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
– «Основы законодательства Российской Федерации о нотариате» № 4462-1 от 11.02.1993;
– Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации».
А также по договору о согласии на обработку персональных данных.
3. Цели обработки персональных данных.
3.1. Обработка персональных данных осуществляется в следующих целях:
– Исполнение обязанностей работодателя в соответствии с законодательством Российской Федерации, в том числе содействие в трудоустройстве, обучении и развитии карьеры, ведение кадрового делопроизводства, обеспечение личной безопасности для работника контроль количества и качества выполняемой работы, сохранность имущества, ведение медицинского и социального страхования, охраны труда, организация командировок работников;
– Исполнение гражданско-правовых договоров, стороной или выгодоприобретателем по которым является субъект персональных данных;
– Соблюдение внутренней политики безопасности и пропускной контроль;
– Архивное хранение документов в соответствии с законодательством Российской Федерации, а также выдача архивных справок по требованию субъекта персональных данных или его законного представителя;
– Подготовка и направление ответов на запросы, поступившие в ООО «РусИнТех Сервис» через корпоративный сайт или иными способами, а также подготовка отчетов по этим запросам.
3.2. ООО «РусИнТех Сервис» вправе определять иные цели обработки персональных данных в рамках законодательства Российской Федерации.
4. Категории обрабатываемых данных, их источники и сроки обработки.
4.1. ООО «РусИнТех Сервис» обрабатывает следующие категории персональных данных:
– Персональные данные работников ООО «РусИнТех Сервис». Источник: субъекты персональных данных;
– Персональные данные претендентов на замещение вакансий в подразделениях ООО «РусИнТех Сервис». Источники: субъекты персональных данных, кадровые агентства, общедоступные источники;
– Персональные данные посетителей. Источники: субъекты персональных данных;
– Персональные данные лиц, обращающихся в ООО «РусИнТех Сервис» с использованием корпоративного сайта или иными способами. Источники: субъекты персональных данных.
4.2. ООО «РусИнТех Сервис» не обрабатывает персональные данные, относящиеся к национальности, национальности, политическим взглядам, религиозно-философским убеждениям и интимной жизни.
4.3. ООО «РусИнТех Сервис» обрабатывает персональные данные, связанные со здоровьем, только в пределах, разрешенных законодательством Российской Федерации.
4.4. Сроки обработки персональных данных определяются:
– В соответствии с правовыми актами Российской Федерации – в отношении персональных данных, обрабатываемых в соответствии с требованиями законодательства Российской Федерации;
– С согласия на обработку персональных данных – в отношении персональных данных, обрабатываемых в соответствии с согласием на обработку персональных данных.
– ООО «РусИнТех Сервис», как оператор персональных данных, определяет трехлетний срок обработки персональных данных для ответа на запросы, полученные через корпоративный сайт или иным способом.
5. Общие принципы обработки персональных данных.
5.1. При обработке персональных данных ООО «РусИнТех Сервис» соблюдает принципы, установленные статьей 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.2. ООО «РусИнТех Сервис» осуществляет трансграничную передачу персональных данных в порядке, установленном законодательством Российской Федерации.
5.3. В ООО «РусИнТех Сервис» созданы общедоступные источники персональных данных (адресная книга корпоративной почтовой системы, телефонный справочник). Персональные данные включаются в такие источники на основании письменного согласия субъектов персональных данных.
5.4. Обработка персональных данных прекращается, а персональные данные уничтожаются в следующих случаях:
— по достижении целей обработки или в случае отсутствия необходимости в их достижении, если иное не установлено законодательством субъекта Российская Федерация;
– при отзыве согласия работника на обработку персональных данных, за исключением случаев, когда обязанность дальнейшей обработки персональных данных предусмотрена законодательством Российской Федерации;
– При обнаружении неправомерных действий в отношении персональных данных и невозможности устранения допущенных нарушений в сроки, установленные законодательством Российской Федерации.
5.5. Сайт может обрабатывать и хранить обезличенные данные о посетителях (в т.ч. файлы cookie) с использованием сервисов интернет-статистики (Яндекс.Метрика, Google Analytics и др.) Оператор обрабатывает обезличенные данные о Пользователе в случае активации соответствующего разрешения в браузере Пользователя. (Хранилище файлов cookie активно и JavaScript активен)
6. Информация о третьих лицах, участвующих в обработке персональных данных.
6.1. ООО «РусИнТех Сервис» обеспечивает конфиденциальность персональных данных и не осуществляет передачу персональных данных, а также не предоставляет доступ к ним третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.2. ООО «РусИнТех Сервис» передает персональные данные (обеспечивает доступ к ним) органам государственной власти Российской Федерации в соответствии с их компетенцией и в пределах, предусмотренных законодательством Российской Федерации.
6.3. ООО «РусИнТех Сервис» передает персональные данные иным третьим лицам на основании договора или поручения на обработку, в которых устанавливаются:
– Цель обработки персональных данных;
– Перечень действий (операций) с персональными данными, которые должен совершить подрядчик;
– Обязанность Исполнителя по охране конфиденциальности персональных данных и обеспечению безопасности персональных данных при их обработке;
– Требования к безопасности обрабатываемых персональных данных в соответствии со статьей 19Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
А в пределах, разрешенных действующим законодательством, при условии оформления письменного согласия на передачу персональных данных.
7. Обеспечение безопасности персональных данных.
7.1. ООО «РусИнТех Сервис» принимает все необходимые организационные и технические меры для обеспечения конфиденциальности персональных данных при их обработке подразделениями Компании:
– Обеспечение правовой защиты персональных данных путем исполнения договорных отношений, влекущих за собой обязательства по сохранению конфиденциальности персональных данных уполномоченными работниками ООО «РусИнТех Сервис»;
– Хранение документов, содержащих персональные данные и хранящихся в производственных и служебных помещениях, в том числе использование в этих помещениях систем контроля доступа и установка систем охранной и пожарной сигнализации;
– Использование антивирусной защиты, средств защиты от несанкционированного доступа к персональным данным, механизмов контроля целостности персональных данных и иных технических и программных средств в информационных системах персональных данных;
– Постоянный контроль за действиями пользователей информационных систем персональных данных, в необходимых случаях – реализация мероприятий по устранению выявленных несоответствий требованиям нормативных документов, установленных контролирующими органами;
– Периодическая проверка соответствия принимаемых мер по обеспечению безопасности персональных данных уполномоченными органами.
7.2. ООО «РусИнТех Сервис» определяет по своему усмотрению содержание и перечень мер, необходимых и достаточных для обеспечения исполнения возложенных на него обязательств, если иное не предусмотрено правовыми актами Российской Федерации.
8. Права субъектов персональных данных.
8.1. Субъект персональных данных имеет право:
– получать информацию, связанную с обработкой своих персональных данных;
– На неограниченный свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
– Требовать от ООО «РусИнТех Сервис» актуализировать свои персональные данные, блокировать или уничтожить персональные данные в случае их неполноты, устаревания, недостоверности, незаконного получения или ненужности для заявленной цели обработки, а также принять предусмотренные законом меры по защиты своих прав.
8.2. Права субъекта персональных данных, указанные в пункте 8.1. Устава, могут быть ограничены в случаях, предусмотренных законодательством Российской Федерации.
8.3. Для реализации всех вышеуказанных прав субъект персональных данных вправе направить соответствующий запрос в ООО «РусИнТех Сервис».
9. Общие выводы
9.1. Информацию и разъяснения по обработке персональных данных Пользователь может получить, обратившись к Оператору, отправив электронное письмо на адрес [email protected]
9.2. Этот документ содержит все данные и изменения, внесенные в политику обработки персональных данных. Политика действует бессрочно до замены ее новой версией.
9.3 . Действующая редакция Политики находится в свободном доступе в сети Интернет на сайте https://rit-it.com/policy/
Персональные данные
1. ВВЕДЕНИЕ
1.1. Политика обработки персональных данных (далее — Политика) опубликована и применяется
LANDBOX.ONLINE — FZCO P.O. Box 334 069,
Дубай, Объединенные Арабские Эмираты
Номер лицензии 15 587
Регистрационный номер DSO-FZCO-14294 (далее именуемый «Оператор»).
Настоящая Политика определяет порядок и условия Оператора в отношении обработки персональных данных, устанавливает положения, направленные на соблюдение законодательства в части обработки персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, решаются в соответствии с действующим законодательством в области персональных данных.
2. ОСНОВНЫЕ ПОЛОЖЕНИЯ
2.1. Целью обработки персональных данных является: оказание Оператором услуг от имени субъекта персональных данных.
2.2. Обработка организована Оператором на следующих принципах:
- законности целей и способов обработки персональных данных, добросовестности и добросовестности в деятельности Оператора;
- достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, являющихся избыточными по отношению к целям, заявленным при сборе персональных данных;
- обрабатывает только те персональные данные, которые соответствуют целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.
- недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых друг с другом;
- обеспечение достоверности персональных данных, их достаточности, а при необходимости и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры или обеспечивает их принятие для удаления или уточнения неполных или недостоверных данных;
- хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
- обеспечение записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
- 2.3. Оператор обрабатывает следующие персональные данные: • имя, фамилия субъекта персональных данных;
• номер телефона субъекта персональных данных;
• адрес электронной почты субъекта персональных данных.
2.4. Указанные выше персональные данные обрабатываются с использованием средств автоматизации и без использования средств автоматизации. При обработке персональных данных без использования средств автоматизации Оператор руководствуется Положением об особенностях обработки персональных данных без использования средств автоматизации, утвержденным Постановлением Правительства.
2.5. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19.Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Оператор оказывает услуги путем размещения своего сайта на сайте https://getcourse.ru/, представляющего собой программное обеспечение ГЕТКУРС 2. 0, предназначенное для создания онлайн-школы и организации процесса обучения в сети Интернет. Сайт getcourse.ru использует расширение HTTPS к протоколу HTTP в целях повышения безопасности и защиты информации.
2.6. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством и настоящей Политикой.
2.7. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона «О персональных данных», определяется в соответствии с законодательством страны.
2.7.1. Соотношение такого вреда и принимаемых Оператором мер, направленных на предотвращение, предотвращение и/или устранение его последствий, определяется в соответствии с Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных».
2.8. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется Оператором после акцепта оферты на оказание услуг субъектом персональных данных.
2) в соответствии с пунктом 5 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных принимает оферту по собственной инициативе и является стороной и выгодоприобретателем по заключенному им договору. При этом отдельного согласия на обработку персональных данных субъекта не требуется.
3) Условия настоящей Политики доступны Пользователям в открытом доступе, до момента принятия оферты на оказание услуг.
2.9. Хранение персональных данных пользователей осуществляется в форме, позволяющей определить субъекта персональных данных.
2.10. Персональные данные подлежат уничтожению по достижении целей обработки. Удаление персональных данных осуществляется путем удаления учетной записи, после чего такая запись не может быть восстановлена.
2.11. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства.
3. ТРЕТЬИ ЛИЦА, УЧАСТВУЮЩИЕ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ООО «Система ГЕТКУРС» (https://getcourse.ru/) ИНН 9731055900/КПП 773101001, ОГРН 1197746675170, место нахождения: 121596, г. Москва, ул. Горбунова, д. 2, стр. 3, пом. 3. 1.3.2. Услуги хостинга и услуги по предоставлению выделенных серверов предоставляет ООО «Селектел» https://selectel.ru/about/details.
4. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор или его законный представитель является лицом, ответственным за обработку персональных данных.
4.2. Лицо, ответственное за обработку персональных данных:
4.2.1. осуществляет внутренний контроль за соблюдением законодательства о персональных данных, в том числе требований к защите персональных данных; 4.2.2. контролирует прием и обработку обращений и запросов от субъектов персональных данных или их представителей;
4.2.3. принимает меры по выявлению фактов несанкционированного доступа к персональным данным;
4. 2.4. осуществляет постоянный контроль за обеспечением уровня защиты персональных данных; 4.2.5. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам.
5. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
5.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
5.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются соответствующей доверенностью.
5.4. Информация, указанная в пункте 7 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляется субъекту персональных данных в доступной форме, без предоставления персональных данных, относящихся к иным субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных, в электронной форме. По желанию субъекта персональных данных они могут быть продублированы на бумажных носителях.
5.5. Информация, указанная в пункте 7 статьи 22 Федерального закона «О персональных данных», предоставляется субъекту персональных данных или его представителю по личному обращению либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и органе, выдавшем его, сведения, подтверждающие участие субъекта персональных данных в отношениях. с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иная информация), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представитель. При наличии технической возможности запрос может быть направлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством.
5.6. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в соответствии с федеральными законами.
5.7. Оператор обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту их нахождения в рабочее время.
LANDBOX.ONLINE — FZCO
P.O. Box 334069,
Дубай, Объединенные Арабские Эмираты
Номер лицензии 15587
Регистрационный номер ДСО-ФЗКО-14294
Жилой комплекс Энитео
1.1 Настоящая Политика обработки персональных данных (далее — Политика) разработана и распространяется на Общество с ограниченной ответственностью «Специализированный застройщик ТЕКТА-Академическая» (ОГРН 1207700228669 , ИНН 7727447242) (далее — «Оператор») в соответствии с подпунктом 2(2) Части II настоящего Соглашения. 2 ч. 1.1 Статья 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»).
1.2 Настоящая Политика определяет основные принципы, цели и способы обработки персональных данных, принимаемые к обработке, порядок и условия обработки персональных данных физических лиц, предоставивших свои персональные данные на обработку оператору (далее – субъекты персональных данных), с использованием средств автоматизации или без таковых, устанавливает порядок предотвращения нарушений законодательства Российской Федерации, устранения последствий таких нарушений, связанных с обработкой персональных данных.
1.3 Политика разработана в целях обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установления ответственности должностных лиц Оператора, получивших доступ к персональным данным субъектов персональных данных, за несоблюдение соблюдение требований и регламентов, регламентирующих обработку персональных данных.
1.4 Оператор, руководствуясь статьей 22 Федерального закона от 27.07.2006 N 152-ФЗ (в редакции от 22. 02.2017) «О персональных данных», осуществляет обработку персональных данных без уведомления уполномоченного органа в области защиты персональных данных. права субъектов данных.
1.5 Персональные данные субъекта персональных данных – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
1.6. Оператор обрабатывает следующие персональные данные:
- Имя, отчество, фамилия субъекта персональных данных;
- контактный телефон;
- адрес электронной почты.
В случае получения персональных данных, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, их непреднамеренно получившим.
1.7. Оператор обрабатывает персональные данные Субъектов персональных данных в целях предоставления Субъектам полной информации, имеющейся в распоряжении Оператора, относительно объектов, находящихся в собственности (строящихся) Оператора, информация о которых размещена на сайте Оператора, в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора и на указанную обработку получено согласие Субъекта персональных данных.
1.8. Оператор осуществляет обработку персональных данных Субъекта посредством любого действия (операции) или совокупности действий (операций), совершаемых с использованием или без использования средств автоматизации, в том числе путем сбора
- ,
- запись,
- систематизация
- накопление,
- хранение,
- уточнение (обновление, изменение),
- поиск,
- использование,
- передача (распределение, предоставление, доступ),
- анонимизация,
- блокировка,
- удаление,
- разрушение.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 При обработке персональных данных Оператор руководствуется следующими принципами:
Законность и добросовестность;
- Своевременность и достоверность получения согласия субъекта персональных данных на обработку персональных данных
- обработка только тех персональных данных, которые соответствуют целям их обработки
- Соответствие состава и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки;
- Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях;
- Обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры или обеспечивает их принятие для удаления или уточнения неполных или неточных данных;
- Сохранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
2.2 Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Настоящая Политика;
- Статья 12 Всеобщей декларации прав человека 1948 года; и
- Статья 17 Международного пакта о гражданских и политических правах 1966 года;
- Статья 8 Европейской конвенции о защите прав человека и основных свобод 1950 г. ;
- Положения Конвенции о правах человека и основных свободах Содружества Независимых Государств (Минск, 1995 г.), ратифицированной Российской Федерацией 11 августа 1998 г.;
- Положения Окинавской хартии глобального информационного общества, принятой 22.07.2000.
2.3 Обработка персональных данных Оператором осуществляется в соответствии с:
- Постановлением Правительства РФ от 01.11.2012. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем руководителя Федеральной службы России по техническому и экспортному контролю 14 февраля 2008 г.
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем руководителя Федеральной службы по техническому и экспортному контролю Российской Федерации 15 февраля 2008 г.;
- Методические рекомендации по обеспечению защиты персональных данных криптографическими средствами при их обработке в информационных системах персональных данных средствами автоматизации, утвержденные руководством Центра 8 ФСБ РФ от 21 февраля 2008 г. N 149/5-144;
- Иные нормативные и ненормативные правовые акты, регулирующие порядок обработки персональных данных.
3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Персональные данные субъектов персональных данных получают Оператор:
- посредством заполнения Субъектом полей для подачи заявки «Заказ звонка» на сайте, адресованном в глобальной сети Интернет с использованием доменного имени www.eniteo.ru, иными способами, не противоречащими законодательства Российской Федерации и требований международного законодательства о защите персональных данных.
3.2 Оператор получает и приступает к обработке персональных данных субъекта после получения его согласия. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не предусмотрено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе путем совершение субъектом персональных данных конклюдентных действий.
3.3 Согласие на обработку персональных данных считается данным субъектом персональных данных путем совершения субъектом персональных данных в совокупности следующих обязательных действий
- Лицо подтверждает правильность и достоверность данных, указанных в его и выражает желание подать Заявку, активировав поле «Заказать звонок» на сайте, адресованном в глобальной сети Интернет по доменному имени www.eniteo.ru.
- Активируя поле «Заказать звонок», субъект добровольно, добровольно и в своем интересе дает согласие в письменной форме Оператору на обработку предоставленных персональных данных.
- Согласие считается полученным с момента такой активации при условии его подтверждения субъектом персональных данных в установленном порядке, и действует до момента направления субъектом персональных данных оператору отзыва согласия на обработку персональных данных. данные.
- В случае отсутствия согласия субъекта персональных данных на обработку его персональных данных такая обработка не осуществляется.
3.4 Субъект персональных данных вправе в любое время отозвать согласие на обработку персональных данных при условии, что такой порядок не нарушает требований законодательства Российской Федерации. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только по основаниям, предусмотренным Федеральным законом «О персональных данных».
3.5 Порядок отзыва согласия на обработку персональных данных:
- Для отзыва согласия на обработку персональных данных Субъект направляет соответствующее заявление в письменной форме по месту нахождения Оператора.
3.6. В случае отзыва согласия субъекта персональных данных на обработку его персональных данных Оператор обязан прекратить обработку персональных данных и, если сохранение персональных данных не требуется для целей их обработки, уничтожить персональные данные в течение срока не более 30 (Тридцати) рабочих дней с даты получения указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным договором между Оператором и субъектом персональных данных
4. ПРАВИЛА И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор до обработки персональных данных назначает контролера данных, ответственного за организацию обработки персональных данных.
4.1.1 Контролер данных получает указания непосредственно от исполнительного органа Оператора (Генерального директора) и подотчетен ему.
4.1.2 Ответственный за организацию обработки персональных данных вправе составить и подписать уведомление в уполномоченный орган по защите прав субъектов персональных данных о намерении Оператора осуществлять обработку персональных данных.
4.2 Обработка персональных данных осуществляется работниками Оператора, уполномоченными на это должностными инструкциями и иными внутренними документами Оператора.
Работники Оператора, непосредственно осуществляющие обработку персональных данных, до начала работы должны быть ознакомлены по номеру
- с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к порядку защиты персональных данных;
- Документы, определяющие политику Оператора в отношении обработки персональных данных, в том числе настоящая Политика, приложения и изменения к ней;
- Локальные акты об обработке персональных данных.
Работники Оператора вправе получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей. Работники Оператора, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, особенностях и правилах такой обработки, установленных регламентами и внутренними документами Оператора.
4.3 При обработке персональных данных Оператор обязан применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная постановлением Правительства Российской Федерации от 17.11.2007 № 781, Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная постановлением Правительства Российской Федерации от 17.11.2007 № 781.
4.4 Оператор обеспечивает конфиденциальность персональных данных в соответствии с принятым Оператором Соглашением о конфиденциальности.
4.5 Контроль за соблюдением работниками Оператора требований законодательства Российской Федерации и международного права, а также положений локальных нормативных актов Оператора организуется Оператором в соответствии с настоящей Политикой обработки персональных данных.
4.6. Проверка соблюдения Оператором требований законодательства и положений локальных нормативных актов Оператора организуется Оператором в соответствии с настоящей Политикой обработки персональных данных.
4.7 Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Оператором требований Закона об обработке персональных данных, определяется в соответствии со ст. 15, 151, 152, 1101 ГК РФ.
4.8. Оператор обязуется опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, иным документам, определяющим политику Оператора в отношении обработки персональных данных, информацию о реализуемых требованиях к защите персональных данных, путем размещения на электронном сайте Оператора: www.eniteo.ru .
4.9 Доступ к персональным данным Субъектов предоставляется работникам Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень работников, имеющих доступ к персональным данным, устанавливается приказом Генерального директора Оператора.
5. ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
5.1 Субъект персональных данных имеет право на получение информации, указанной в части 7 статьи 14 Федерального закона «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
Субъект персональных данных вправе требовать от оператора уточнения, блокирования или уничтожения его персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, полученными неправомерно или не являются необходимыми для заявленной цели обработки, и принять предусмотренные законом меры по защите его прав.
5.2 Информация предоставляется субъекту персональных данных Оператором в доступной форме и не должна содержать персональных данных, относящихся к иным субъектам персональных данных, при отсутствии законных оснований для раскрытия таких персональных данных.
5.3 Информация предоставляется субъекту персональных данных или его представителю оператором при обращении субъекта персональных данных или его представителя или получении запроса.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи указанного документа и орган, выдавший его, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, или сведения иное подтверждение факта обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос должен быть сделан в письменной форме в зарегистрированном офисе Оператора.
5.4 В случае если информация, а также обрабатываемые персональные данные были предоставлены субъекту персональных данных для ознакомления по его запросу, субъект персональных данных вправе повторно обратиться к оператору либо направить ему повторный запрос в целях получения информации и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) рабочих дней после подачи первоначального заявления или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом
5. 5 Субъект персональных данных вправе повторно обратиться к Оператору или направить ему повторный запрос о предоставлении информации, а также об ознакомлении с обрабатываемыми персональными данными, до истечения срока, указанного в пункте 5.4 настоящей Политики, в случае, если такая информация и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме после рассмотрения первоначального заявления. Повторный запрос вместе со сведениями, указанными в пункте 5.3. настоящей Политики, должны содержать обоснование направления повторного запроса.
5.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5.4. настоящей Политики. 5.4. — 5,5. настоящей Политики, в порядке, предусмотренном Законом о персональных данных. Такой отказ должен быть мотивирован. Обязанность предоставления доказательств обоснованности отказа в удовлетворении повторного запроса лежит на Операторе.
5.7. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в соответствии с законодательством Российской Федерации.
5.8 При обращении субъекта персональных данных к Оператору либо получении запроса от субъекта персональных данных или его представителя, а также от уполномоченного органа по защите прав субъектов персональных данных Оператор:
- Сообщать в порядке, установленном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также обеспечивать возможность ознакомления с такие персональные данные по запросу субъекта персональных данных или его представителя либо в течение 30 (тридцати) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
- В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, Оператор обязан предоставить письменный мотивированный ответ, содержащий ссылку на пункт 8 статьи 14 Федерального закона «О персональных данных» или иной федеральный закон, являющийся основанием для такого отказа, в срок, не превышающий 30 (тридцать) часов 9. 0022
- Предоставить субъекту персональных данных или его представителю возможность на безвозмездной основе ознакомиться с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих неполноту, недостоверность или неактуальность персональных данных, Оператор вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные получены неправомерно или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
- Уведомлять уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) рабочих дней с даты получения такого запроса.
6. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6. 1 Субъекты персональных данных или их представители имеют права, предусмотренные Федеральным законом «О персональных данных» и иными нормативными правовыми актами, регулирующими порядок обработки персональных данных.
6.2 Оператор обеспечивает права субъектов персональных данных в порядке, установленном Федеральным законом «О персональных данных».
6.3 Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в установленном законодательством порядке. Копия доверенности представителя хранится у Оператора не менее 3 (трех) лет, а в случае хранения персональных данных более трех лет — не менее срока хранения персональных данных.
6.4. Информация, указанная в части 7 статьи 22 Федерального закона «О персональных данных», предоставляется субъекту персональных данных структурным подразделением Оператора, осуществляющим обработку персональных данных, в доступной форме без указания персональных данных. иным субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных в электронной форме.
6.5 Информация, указанная в пункте 7 статьи 22 Федерального закона «О персональных данных», предоставляется субъекту персональных данных или его представителю лично, либо при получении оператором соответствующего запроса субъекта персональных данных или его представитель. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи такого документа и органе его выдачи, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора , дату заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
6.6 Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в соответствии с частью 8 статьи 22 Федерального закона «О персональных данных».
6.7. Оператор обязан по требованию субъекта персональных данных немедленно прекратить обработку его персональных данных в соответствии с частью 1 статьи 15 Федерального закона «О персональных данных».
6.8 Решение, влекущее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта персональных данных в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению прав и законных интересов субъекта персональных данных
7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Персональные данные хранятся в соответствии с письменным согласием субъекта персональных данных и в течение срока, установленного в соответствии с требованиями действующего законодательства Российской Федерации.
В случае отсутствия сроков хранения отдельных видов персональных данных в соответствующих нормативных правовых актах, эти персональные данные будут храниться в течение срока, указанного в письменном согласии субъекта персональных данных.
7.2. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не установлено федеральным законом.
7.3 Работник Оператора, получивший доступ к персональным данным в связи с исполнением трудовых обязанностей, обязан обеспечить хранение информации, содержащей персональные данные субъектов персональных данных, исключая доступ к ней третьих лиц.
В случае ухода в отпуск, командировку или иных случаев длительного отсутствия работника на рабочем месте он передает носители, содержащие персональные данные, лицу, на которое будет возложена ответственность за исполнение его трудовых обязанностей местным акт Оператора. В случае неназначения такого лица носители, содержащие персональные данные о субъектах персональных данных, передаются другому работнику, имеющему доступ к персональным данным о субъектах персональных данных, по указанию руководителя соответствующего структурного подразделения Оператора.
При увольнении работника, имеющего доступ к персональным данным, носители, содержащие персональные данные о субъектах персональных данных, передаются другому работнику, имеющему доступ к персональным данным о субъектах персональных данных, по поручению руководителя структурного подразделения и с уведомлением лицо, ответственное за обработку персональных данных.
8. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
8.1 Основной целью обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, недопущение умышленных программно-аппаратных и иных воздействий в целях хищения персональных данных, уничтожения (уничтожения) или искажение персональных данных в процессе обработки.
Оператор принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними третьих лиц.
8.2 Достигается обеспечение безопасности персональных данных, в частности
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, реализация которых обеспечивает уровни защищенности персональных данных, установленные Правительством Российской Федерации Российская Федерация
- Применение утвержденной в установленном порядке методики оценки соответствия средств защиты информации
- Оценка эффективности мероприятий по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
- регистрация устройств хранения персональных данных
- Выявление несанкционированного доступа к персональным данным и принятие мер
- Восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа к таким данным
- Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных
- контроль за соблюдением мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.3 Доступ работников Оператора к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Оператора. Работники, уполномоченные на обработку персональных данных, должны быть ознакомлены под роспись с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, в том числе с документами, устанавливающими права и обязанности конкретных работников.
8.4 Доступ к информационным системам персональных данных и обработка персональных данных подлежат регистрации, в том числе средствами защиты информации. Оператор хранит информацию об обработке персональных данных в течение трех лет.
8.5 Мероприятия по защите персональных данных осуществляются Оператором по следующим направлениям:
- предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;
- Предотвращение несанкционированного доступа к информации, содержащей персональные данные, специального воздействия на такую информацию (носители информации) в целях получения, уничтожения, искажения, блокирования доступа к ней
- защита от вредоносных программ;
- обеспечение безопасной межсетевой связи;
- обеспечение защищенного доступа к международным сетям обмена информацией;
- Анализ защищенности информационных систем персональных данных;
- Обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче персональных данных по каналам связи
- Обнаружение вторжений и компьютерных атак
- контроль за внедрением системы защиты персональных данных.
8.6 К мерам по обеспечению безопасности персональных данных относятся:
- реализация разрешительной системы доступа работников к информационным ресурсам информационных систем и произведений, документов, связанных с их использованием
- разграничение доступа пользователей информационных систем персональных данных и работников, обслуживающих информационные системы персональных данных, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации
- Регистрация действий пользователей и обслуживающих работников информационных систем персональных данных, контроль несанкционированного доступа и действий пользователей и обслуживающих работников, а также третьих лиц
- Использование средств защиты информации, прошедших процедуру подтверждения соответствия в установленном порядке;
- Предотвращение внедрения в информационные системы вредоносных программ и программных закладок, анализ информации, поступающей по информационно-телекоммуникационным сетям (сетям связи общего пользования), в том числе на наличие компьютерных вирусов;
- Запись и хранение съемных носителей данных и обращение с ними для предотвращения кражи, подмены или уничтожения;
- реализация требований к безопасному взаимодействию информационных систем;
- периодический анализ защищенности установленных межсетевых экранов на основе моделирования внешних атак на информационные системы;
- проактивный аудит защищенности информационных систем для оперативного обнаружения несанкционированной сетевой активности;
- Анализ защищенности информационных систем с использованием специализированного программного обеспечения (сканеры безопасности).
8.7 В целях обеспечения защиты персональных данных на должном уровне Оператор осуществляет внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.
Внутренний контроль включает:
- мониторинг состояния технических и программных средств, входящих в систему защиты персональных данных
- контроль за соблюдением требований к обеспечению безопасности персональных данных (требований нормативных правовых актов и локальных нормативных актов в области обработки и защиты персональных данных, требований договоров).
8.8. В целях осуществления внутреннего контроля Оператор осуществляет периодические проверки условий обработки персональных данных. Указанные проверки проводятся комиссией, формируемой Генеральным директором Оператора.
О результатах проверки и необходимых мерах по устранению выявленных нарушений доложить Генеральному директору Оператора.
