152 фз о защите персональных: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

Разное 

Серверы 152-ФЗ — Справочный центр

Согласно российскому законодательству, все компании, которые хранят, собирают или обрабатывают персональные данные своих клиентов, контрагентов или сотрудников, обязаны соблюдать Федеральный закон «О защите персональных данных» №152-ФЗ. Оборудование, системы и процессы обработки ПДн должны соответствовать требованиям закона, в противном случае компании могут грозить значительные штрафы или даже приостановка деятельности.

Мы предлагаем услугу размещения персональных данных на выделенных физических и виртуальных серверах, соответствующих требованиям 152-ФЗ и имеющих уровень защищенности УЗ-3.

Соответствие закону 152-ФЗ 

Вы можете быть уверены в полном соблюдении законодательства и не беспокоиться о прохождении проверок Роскомнадзора.

Экономия времени и средств

Вам не потребуется закупать дорогостоящее оборудование, выстраивать собственную защищенную инфраструктуру и проходить процесс аудита для нее. Наши серверы уже имеют необходимые акты соответствия и полностью готовы к работе.

Надежность и конфиденциальность 

Размещенная на сервере инфраструктура полностью изолирована и доступна только вам. Все передаваемые данные надежно зашифрованы и защищены согласно всем требованиям регулятора.

Миграция проекта на сервер 152-ФЗ

Мы поможем подобрать для вашего проекта сервер оптимальной конфигурации и нужного уровня защищенности и выполнить перенос.

  1. Подскажем, как определить необходимый уровень защищенности персональных данных для вашего проекта или бизнеса.
  2. Подготовим инфраструктуру в соответствии с требованиями 152-ФЗ.
  3. Поможем с миграцией и запуском вашего проекта на мощностях Timeweb.
  4. Обеспечим полную поддержку инфраструктуры и обслуживание физического оборудования.

Заказ услуги

Серверы и инфраструктура Timeweb Cloud полностью соответствуют ФЗ-152. Заказать физический или виртуальный сервер вы можете на нашем сайте.

Выделенные серверы с услугой «Администрирование» не подойдут тем, кому необходимо соответствие 152-ФЗ.

Частые вопросы

  • Для чего нужны серверы, соответствующие152-ФЗ?

Заказывая сервер 152-ФЗ в Timeweb, вы можете быть уверены, что инфраструктура, на которой размещаются ваши проекты, соответствует законодательству в отношении обработки персональных данных. Это упростит прохождение сертификации для информации, которую вы разместите на сервере. Необходимые документы, подтверждающие соответствие нашей инфраструктуры требованиям закона, мы предоставим.

  • Кто считается оператором персональных данных?

Согласно законодательству, оператором ПДн считаются любые государственные органы, а также физические и юридические лица, которые собирают и обрабатывают персональные данные россиян.

При этом не имеет значения, включены ли они в соответствующий реестр операторов ПДн Роскомнадзора. Другими словами, действие закона 152-ФЗ распространяется на любую организацию в РФ.

  • Наша компания только хранит данные клиентов, но никак их не обрабатывает. Нужно ли в данном случае исполнять 152-ФЗ?

Да, согласно 152-ФЗ, сбор персональных данных и их хранение тоже входят в понятие обработки данных. Даже если вы только собираете и храните персональные данные пользователей, не производя над ними никаких иных действий, ваши системы, процессы и инфраструктура должны соответствовать требованиям 152-ФЗ.

  • Для соблюдения 152-ФЗ достаточно просто размещать персональные данные на территории России?

Размещение на территории РФ — только одно из обязательных условий. Помимо этого, должны быть предприняты меры защиты в соответствии с требуемым уровнем защищенности, согласно приказа ФСТЭК №21.

  • Как определить нужный уровень защищенности?

Уровень защищенности зависит от того, какие данные вы обрабатываете и какие типы угроз могут быть для вас актуальны. Существует четыре типа персональных данных (общие, специальные, биометрические, иные) и три уровня угроз.

Мы готовы помочь провести анализ и определить необходимый УЗ на основании общедоступной информации, а также предложим инфраструктурное решение, полностью подходящее вашей компании и отвечающее всем требованиям законодательств.

  • Обязательна ли аттестация на соответствие 152-ФЗ?

Аттестацию обязаны пройти государственные и муниципальные организации, а также частные компании в случае подключения к государственным системам. В остальных случаях аттестацию можно пройти добровольно, если это необходимо для вашей организации по каким-то причинам (например, для заключения договора).

Приведение в соответствие требованиям Федерального закона 152-ФЗ «О персональных данных»

Главная » Услуги » Приведение в соответствие требованиям Федерального закона 152-ФЗ «О персональных данных»

Федеральный закон 152-ФЗ призван обеспечить права субъектов персональных данных и вместе с подзаконными актами регламентирует порядок обработки и обеспечения конфиденциальности персональных данных.

Нарушение требований данных правовых актов, в том числе нормативных документов ФСБ и ФСТЭК в процессе обработки персональных данных может привести к проблемам с государственными органами, которые осуществляют надзор и контролируют данную сферу деятельности (Роскомнадзор, ФСБ России, ФСТЭК России), а также к возможному привлечению организации и ее руководства к административной или другим мерам ответственности. Не исключена также приостановка регуляторами обработки персональных данных в организации, в некоторых случаях может быть приостановлена деятельность компании или аннулирована лицензия.

При выполнении работ мы основываемся на актуальных требованиях законодательства РФ и надзорных органов (Роскомнадзор, ФСТЭК и ФСБ), в частности положений Постановления Правительства РФ от 01.11.2012г. №1119.

Все рекомендации, заключения и отчеты, предоставляемые в ходе выполнения работ, согласуются с Заказчиком и выполняются с учетом требований и пожеланий Заказчика. При построении системы защиты персональных данных мы исходим в том числе из оптимизации затрат на реализацию технической составляющей системы защиты персональных данных.

Практика проверок регуляторов позволяет составить примерный перечень нарушений, допускаемых операторами по обработке персональных данных:

  • данные физического лица обрабатываются не в соответствии с задекларированными целями обработки;
  • не получено согласие субъекта на сбор и обработку персональных данных;
  • отсутствие информирования субъекта о порядке сбора и обработки персональных данных;
  • данные получены оператором незаконными методами;
  • персональные данные не уничтожены по достижении целей обработки.

Порядок выполняемых нами работ и их состав

Предварительный аудит информационной системы и процедур обработки персональных данных, а также их оценка на предмет соответствия требованиям по защите персональных данных, включает в себя:

  • анализ нормативных документов компании, регулирующих порядок обработки и защиты персональных данных;
  • определение используемых средств защиты и оценка их соответствия требованиям регуляторов;
  • определение перечня персональных данных, подлежащих защите;
  • установление перечня объектов информационной системы, на которых производится обработка персональных данных;
  • определение степени участия персонала в обработке персональных данных.

По результатам этапа мы вносим корректировки в документацию компании-клиента, касающуюся ИСПДн.

Разработка требований к системе защиты персональных данных

Данный этап подразумевает проведение контроля корректности разработанных существующих у Заказчика документов «Техническое задание на систему защиты персональных данных», «Технический проект системы защиты персональных данных» или их разработку с нуля. При необходимости мы вносим изменения в указанные документы, согласовывая изменения с Заказчиком. По итогам контроля и доработки документации может быть выявлена необходимость приобретения и внедрения дополнительных средств защиты. Внедрение может быть выполнено Заказчиком самостоятельно или с нашей помощью.

Квалификация и гарантии качества выполняемых работ

Все специалисты компании Data Protection Systems, участвующие в реализации проектов по аудиту систем защиты информации, обладают необходимыми знаниями и опытом в области информационной безопасности. Компания является лицензиатом ФСТЭК в части соответствующих видов деятельности. Нами успешно выполнены десятки проектов по приведению компаний в соответствие 152-ФЗ «О персональных данных».

Политика в отношении обработки персональных данных | Peppycraft.com

1. Назначение и объем документа

Политика Компании в отношении обработки персональных данных (далее — Политика) определяет позицию и намерения Компании в отношении обработки и защиты персональных данных, соблюдения прав и основных свобод каждого человека и особенно право на неприкосновенность частной жизни, личную и семейную тайну, защиту его чести и репутации.

Политика подлежит изучению и неукоснительному соблюдению руководителями и сотрудниками всех подразделений Компании; также доводится до сведения лиц, состоящих в договорных, гражданско-правовых или иных отношениях с Обществом, партнеров и иных заинтересованных лиц.

2. Состав персональных данных, обрабатываемых в Обществе

В Обществе осуществляется обработка следующих персональных данных клиентов:

  • Фамилия, имя, отчество клиента — физического лица (физического лица) или физического лица, являющегося представитель юридического лица Заказчика
  • Адрес доставки
  • Контактный телефон
  • Электронная почта
  • Банковские реквизиты
  • Выбор, связанный с файлами cookie

Компания осуществляет обработку персональных данных соискателей в объеме, необходимом для принятия решения о приеме на работу соискателя.

Общество осуществляет обработку персональных данных работников в объеме, необходимом для выполнения работодателем обязанностей, предусмотренных действующим законодательством.

В Обществе не осуществляется обработка биометрических персональных данных, а также специальных категорий персональных данных (за исключением данных о состоянии здоровья работников, связанных с вопросом о возможности выполнения такими работниками своих трудовых функций).

3. Цели обработки персональных данных

Компания обрабатывает персональные данные в целях:

  • информирование клиентов о новых товарах и услугах, предлагаемых Компанией, выставках, в которых участвует Компания (рассылка каталогов, информационных листовок) , электронные сообщения на адреса электронной почты подписавшихся клиентов с информационными и рекламными материалами, касающимися товаров, предлагаемых Компанией)
  • индивидуальный учет заказов клиентов в целях выполнения договоров с клиентами
  • изучение мнений покупателей о Компании и предлагаемых ею товарах путем обратной связи с клиентами (путем регистрации отзывов, оставленных на сайте Компании, сбора анкет и форм-запросов, присланных по электронной почте и заполненных клиентами)
  • прием на работу новых работников Общества и выполнение обязанностей Общества, установленных для работодателя в соответствии с требованиями законодательства Российской Федерации к работникам в процессе их трудовой деятельности
  • принятие решения о возможности заключения трудовых договоров с лицами, претендующими на вакантные должности

4. Положения Политики

Компания осуществляет обработку и обеспечение безопасности персональных данных в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152- ФЗ «О персональных данных», Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, и отмена Директивы 95/46/EC (Общее положение о защите данных).

При обработке персональных данных Компания придерживается следующих принципов:

  • Компания осуществляет обработку персональных данных только на законной и справедливой основе.
  • Общество не вправе раскрывать третьим лицам и распространять персональные данные без согласия физического лица (если иное не установлено действующим законодательством Российской Федерации).
  • Компания собирает только те персональные данные, которые необходимы и достаточны для заявленной цели обработки.
  • Обработка персональных данных Компанией ограничивается достижением конкретных, заранее определенных и законных целей.
  • Компания уничтожает или обезличивает персональные данные после достижения целей обработки или в случае отсутствия в дальнейшем необходимости в достижении этих целей.
  • Компания вправе поручать обработку персональных данных (с согласия физического лица) третьим лицам на основании договоров, заключенных с этими лицами.
  • Третьи лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и Общим регламентом по защите данных (GDPR) .
  • В случае трансграничной передачи Обществом персональных данных физических лиц на территорию иностранных государств указанная трансграничная передача должна осуществляться в соответствии с требованиями действующего законодательства Российской Федерации, а также международных правовых актов. Принимающей стороной при такой передаче могут быть только страны-участницы Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СЕД № 108 от 28.01.19).81) и обеспечение надлежащей защиты прав субъектов персональных данных.

5. Права физических лиц при обработке персональных данных

Физическое лицо, чьи персональные данные обрабатываются Обществом, имеет право:

  1. получать от Общества:
    • подтверждение факта обработки персональных данных Обществом
    • информация о правовых основаниях и целях обработки персональных данных
    • информация об используемых Обществом способах обработки персональных данных
    • информация о наименовании и местонахождении Компании
    • сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные в силу договора с Обществом или в силу федерального закона
    • перечень обрабатываемых персональных данных, касающихся лица, направившего запрос, и сведения об источниках данных
    • сведения о сроках обработки персональных данных, в том числе о сроках их хранения
    • информация об осуществляемой или предполагаемой трансграничной передаче персональных данных
    • имя и адрес лица, осуществляющего обработку персональных данных от имени Компании
    • иная информация, предусмотренная Федеральным законом «О персональных данных» № 152-ФЗ или GDPR
  2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неверными, незаконно полученными или не нужны для заявленной цели обработки
  3. отозвать согласие на обработку персональных данных, направив письменное заявление по адресу: ООО «ПАННА» 111024, ул. Кабельная, 5, стр. 7? Москва, Россия или по электронной почте на адрес Компании: [email protected]
  4. в любой момент отказаться от списка рассылки, нажав на ссылку «Отменить подписку на рассылку» в сообщении электронной почты или на веб-сайте по адресу http://_____________________________
  5. потребовать исправления неправомерных действий Компании в отношении его персональных данных
  6. требовать возмещения убытков и/или морального вреда в судебном порядке.
  7. Информация о внедренных требованиях по защите персональных данных

При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

  • осуществляет доступ работников к персональным данным, обрабатываемым в рамках информационной системы Общества, а также к ее физическим носителям только в целях выполнения ими трудовых обязанностей
  • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Общества, а также обеспечивает регистрацию и учет всех действий с этими данными
  • определяет угрозы безопасности персональных данных при их обработке в информационной системе Общества
  • применяет организационно-технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защиты персональных данных
  • выявляет случаи несанкционированного доступа к персональным данным и принимает меры реагирования, в том числе сообщает об утечке в сроки и в порядке, предусмотренных GDPR, а также восстанавливает персональные данные, измененные или уничтоженные из-за несанкционированного доступа к ним
  • оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных
  • осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», GDPR и принятым в соответствии с ними нормативно-правовым актам и локальным законам
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных перед вводом в эксплуатацию информационных систем персональных данных
  • соблюдение условий, исключающих несанкционированный доступ к физическим носителям персональных данных и обеспечивающих безопасность персональных данных
  • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями о защите персональных данных, с локальными законодательными актами по вопросам обработки и защиты персональных данных, обучение работников Общества

ВНИМАНИЕ:

Физические лица, чьи персональные данные обрабатываются Компанией, могут получить полные разъяснения по вопросам обработки их персональных данных, направив официальный запрос на адрес электронной почты export@firma-gamma. ru или на почтовый адрес :

ООО «ПАННА»

ул. 5-я Кабельная, дом 7, 111024? Москва, Россия

При направлении официального запроса в Компанию запрос должен содержать:

  • фамилия, имя физического лица
  • номер основного документа, удостоверяющего личность гражданина, сведения о дате его выдачи и органе выдачи
  • сведения, подтверждающие связь с Обществом (номер договора, номер клиента) или сведения, иным образом подтверждающие факт обработки персональных данных Обществом
  • подпись физического лица

Если запрос направляется в электронном виде, он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Политика в отношении обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АО «ТОРГОВЫЙ ДОМ «ГАММА»

1. Назначение и объем документа

Политика Компании в отношении обработки персональных данных (далее – Политика) определяет позицию и намерения Компании об обработке и защите персональных данных, соблюдении прав и основных свобод каждого человека и особенно права на неприкосновенность частной жизни, личную и семейную тайну, защите его чести и репутации.

Политика подлежит изучению и неукоснительному соблюдению руководителями и сотрудниками всех подразделений Компании; также доводится до сведения лиц, состоящих в договорных, гражданско-правовых или иных отношениях с Обществом, партнеров и иных заинтересованных лиц.

2. Состав персональных данных, обрабатываемых в Обществе

В Обществе осуществляется обработка следующих персональных данных клиентов:


  • Фамилия, имя, отчество клиента — физического лица (физического лица) или физического лица, является представителем заказчика — юридического лица Общества
  • Адрес доставки
  • Контактный телефон
  • Электронная почта
  • Банковские реквизиты
  • Выбор, связанный с файлами cookie

Компания осуществляет обработку персональных данных соискателей в объеме, необходимом для принятия решения о приеме на работу соискателя.

Общество осуществляет обработку персональных данных работников в объеме, необходимом для выполнения работодателем обязанностей, предусмотренных действующим законодательством.

В Обществе не осуществляется обработка биометрических персональных данных, а также специальных категорий персональных данных (за исключением данных о состоянии здоровья работников, связанных с вопросом о возможности выполнения такими работниками своих трудовых функций).

3. Цели обработки персональных данных

Компания обрабатывает персональные данные в целях:


  • информирование клиентов о новых товарах и услугах, предлагаемых Компанией, выставках, в которых участвует Компания (рассылка каталогов, информационных листовки, электронные сообщения на адреса электронной почты подписавшихся клиентов с информационными и рекламными материалами, касающимися товаров, предлагаемых Компанией)
  • отдельные записи заказов клиентов для целей выполнения договоров с клиентами
  • изучение мнений покупателей о Компании и предлагаемых ею товарах путем обратной связи с клиентами (путем регистрации отзывов, оставленных на сайте Компании, сбора анкет и форм-запросов, присланных по электронной почте и заполненных клиентами)
  • прием на работу новых работников Общества и выполнение обязанностей Общества, установленных для работодателя в соответствии с требованиями законодательства Российской Федерации к работникам в процессе их трудовой деятельности
  • принятие решения о возможности заключения трудовых договоров с лицами, претендующими на вакантные должности

4. Положения Политики

Компания осуществляет обработку и обеспечение безопасности персональных данных в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152- ФЗ «О персональных данных», Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, и отмена Директивы 95/46/EC (Общее положение о защите данных).

При обработке персональных данных Компания придерживается следующих принципов:


  • Компания осуществляет обработку персональных данных только на законной и справедливой основе.
  • Общество не вправе раскрывать третьим лицам и распространять персональные данные без согласия физического лица (если иное не установлено действующим законодательством Российской Федерации).
  • Компания собирает только те персональные данные, которые необходимы и достаточны для заявленной цели обработки.
  • Обработка персональных данных Компанией ограничивается достижением конкретных, заранее определенных и законных целей.
  • Компания уничтожает или обезличивает персональные данные после достижения целей обработки или в случае отсутствия в дальнейшем необходимости в достижении этих целей.
  • Компания вправе поручать обработку персональных данных (с согласия физического лица) третьим лицам на основании договоров, заключенных с этими лицами.
  • Третьи лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и Общим регламентом по защите данных (GDPR) .
  • В случае трансграничной передачи Обществом персональных данных физических лиц на территорию иностранного государства указанная выше трансграничная передача осуществляется в соответствии с требованиями действующего законодательства Российской Федерации, а также международных правовых актов. Принимающей стороной при такой передаче могут быть только страны-участницы Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СЕД № 108 от 28.01.19).81) и обеспечение надлежащей защиты прав субъектов персональных данных.

5. Права физических лиц при обработке персональных данных

Физическое лицо, персональные данные которого обрабатываются в Обществе, имеет право:

1. получать от Общества:


  • подтверждение факта обработки персональных данных Компанией
  • информация о правовых основаниях и целях обработки персональных данных
  • информация об используемых Обществом способах обработки персональных данных
  • информация о наименовании и местонахождении Компании
  • сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные в силу договора с Обществом или в силу федерального закона
  • перечень обрабатываемых персональных данных, касающихся лица, направившего запрос, и сведения об источниках данных
  • сведения о сроках обработки персональных данных, в том числе о сроках их хранения
  • информация об осуществляемой или предполагаемой трансграничной передаче персональных данных
  • имя и адрес лица, осуществляющего обработку персональных данных от имени Компании
  • иная информация, предусмотренная Федеральным законом «О персональных данных» № 152-ФЗ или GDPR

2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неверными, получены неправомерно или не нужны для заявленной цели обработки

3. Отозвать согласие на обработку персональных данных, направив письменное заявление на адрес электронной почты [email protected] или в адрес Компании: ОАО «ТД Гамма» 141506, Россия, Московская область, г. Солнечногорск, ул. Красная, 58,

4. Отказаться в любой момент от списка адресов электронной почты в сообщении электронной почты на адрес электронной почты [email protected].

5. Требовать исправления неправомерных действий Компании в отношении его персональных данных

6. Требовать возмещения убытков и/или морального вреда в судебном порядке.

7. Информация о реализуемых требованиях к защите персональных данных

При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:


  • реализует доступ работников к персональным данным, обрабатываемым в информационной системе Общества, а также к ее физическим носителям только в целях выполнения своих должностных обязанностей
  • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Общества, а также обеспечивает регистрацию и учет всех действий с этими данными
  • определяет угрозы безопасности персональных данных при их обработке в информационной системе Общества
  • применяет организационно-технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защиты персональных данных
  • выявляет случаи несанкционированного доступа к персональным данным и принимает меры реагирования, в том числе сообщает об утечке в сроки и в порядке, предусмотренных GDPR, а также восстанавливает персональные данные, измененные или уничтоженные из-за несанкционированного доступа к ним
  • оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных
  • осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», GDPR и принятым в соответствии с ними нормативно-правовым актам и локальным законам
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных перед вводом в эксплуатацию информационных систем персональных данных
  • соблюдение условий, исключающих несанкционированный доступ к физическим носителям персональных данных и обеспечивающих безопасность персональных данных
  • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями о защите персональных данных, с локальными законодательными актами по вопросам обработки и защиты персональных данных, обучение работников Общества

ВНИМАНИЕ:

Физические лица, чьи персональные данные обрабатываются Компанией, могут получить полные разъяснения по вопросам обработки их персональных данных, направив официальный запрос на адрес электронной почты export@firma-gamma.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *