152 федеральный закон и садоводства :: E-poselok.ru
152 федеральный закон и садоводства :: E-poselok.ruДля садоводств и коттеджных посёлков
Оплата online. Все взносы. Все виды счетчиков
Подключить мой поселок
- На главную
- Наш блог
- Требования ФЗ 152
- 152 федеральный закон и садоводства
152 ФЗ и что требуется от садоводств осенью 2022 года
Российский законодатель в своей заботе о россиянах традиционно не дает отдыхать рядовым гражданам. Интенсивность изменения законодательства в нашей стране можно сопоставить разве что с ее периодической непоследовательностью. В 2022 году по традиции законодатель поменял 217 ФЗ, введя и новые требования к проведению собраний и новые пожелания по обновлению уставов и много мелких неожиданных правок, вновь разворошив сельские склоки на земле.
Не будем тратить время и килобайты на рассуждения о рациональности вводимых изменений, отметим только то, что нужно сделать руководителям СНТ, ТСН, ДНТ и других форм организаций, выполняющих требования 217 ФЗ или аналогичных законов (например, законов о потребительской кооперации для Партнерств и Кооперативов).
Садоводство — потому что оно обязано вести реестр членов и собственников в силу требования закона. Любое другое Товарищество или Партнерство — потому что оно обязано в силу ГК вести реестр своих членов и учредителей.
Что в этом реестре содержится, описано в 217 ФЗ: ФИО, адрес, телефон, email, данные объекта недвижимости.
На прочие данные надо запрашивать согласие на обработку персональных данных и это согласие должно быть на бумаге за собственноручной подписью. Ссылаться на то, что персональные данные получены из публичных источников (например, из выписки из ЕГРН), и поэтому обрабатываются, теперь формально нельзя.
В ГК и Законе о потребительской кооперации не указано, что должно быть в реестре «товарищей» по кооперативу или партнерству, поэтому лучше предусмотреть или автоматическое согласие в уставе или отдельное согласие на обработку персональных данных. Последнее предпочтительнее.
2. Документарное сопровождение обработки персональных данных.
Любое юрлицо вправе обрабатывать персональные, служебные и иные данные любым способом. Можно на бумажке, можно на компьютере, можно в облаке с помощью любых программных инструментов (включая облачные 1С, Е-поселок или что угодно еще). При этом юрлицо должно предпринимать разумные и достаточные действия для обеспечения безопасности: т.
Ограничение и требование по получению дополнительного согласия субъекта персональных данных наступают только тогда, когда одно юрлицо передает другому юрлицу персональные данные для обработки в виде именно персональных данных (например, в виде структурированной таблицы Excel или иного списка или базы данных). Иными словами наступает ситуация, когда СНТ нанимает стороннее юрлицо для обработки именно персональных данных: рассылки сообщений, проведению обзвонов, адресной рассылке смс или организации общего собрания.
Обходится этот запрет следующим образом: например, если СНТ необходимо передать ПД для обработки, форматирования или иных задач куда-либо, СНТ может заключить нефинансовый договор волонтерства с физическим лицом, которое выполнит данные работы.
Таким образом, формальной передачи ПД за пределы организации не произойдет и дополнительных разрешений от субъектов не потребуется. Увы, какие времена — такие и решения.
Однако проблема подготовки документов по обработке ПД по-прежнему существует. Это значит, что как минимум на сайте юрлица должно быть опубликовано уведомление об использовании cookies и политика обработки персональных данных. В недрах организации должны быть изданы приказы об обработке персональных данных:
- • — политика обработки персональных данных
- • — положение об обработке ПД, об обеспечении безопасности и т.п.
- • — приказ по должностным лицам, допущенным к обработке персональных данных
- • — инструкции для должностных лиц и регламенты
- • — регламенты и составы комиссий по удалению и проверке режимов хранения и обработки ПД
- • — приказ о назначении ответственного за организацию обработки ПД у оператора
- • — шаблон-согласие субъекта ПД на обработку его ПД
- • — документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
- • — документы по организации приема и обработке обращений и запросов субъектов персональных данных.
- Всего около 30 документов….
Список довольно большой, нудный, бессмысленный и едва ли у какой-либо организации в России он имеется в идеальном виде. Мы постараемся подготовить шаблоны указанных документов по образцу аналогичных шаблонов для проверки МЧС, которые есть в системе е-поселок.
3. Теперь «друг» садоводства — РосКомнадзор. Неожиданно.
Действительно, с 1 сентября 2022 года все юрлица должны в уведомительном порядке подать заявление в Роскомнадзор о намерении обрабатывать персональные данные в автоматизированном виде. До указанной даты законодатель выводил из списка организаций те, что обрабатывали данные в т.ч. своих сотрудников. Поэтому «угадать» должно ли юрлицо подавать заявление в Роскомнадзор или нет было не просто. Но теперь же, любое юрлицо автоматически «виновно», ведь никто больше не ходит «ножками» в ПФР и не подает вручную ежемесячный отчет, например, СЗВ-М или -ТД в ПФР или отчет НДФЛ в ФНС.
Что необходимо сделать прямо сейчас (вернее надо было сделать до 1 сентября):
- — зайти на сайт https://pd.rkn.gov.ru/operators-registry/notification/form/
- — заполнить форму. Подписать можно ЭЦП или распечатать и послать по почте.
Задача вроде бы не сложная, но заполнение формы может превратиться в ужас для человека, который не сталкивался с местной бюрократической кухней. Поэтому приложим к настоящей статье краткую информацию — пример, как отвечать на пункты анкеты РКН.
И да оградит нас режим повышенной готовности от напастей проверок голодных государственных чиновников!
Пример заполнения
Уведомление об обработке (намерении осуществлять обработку) персональных данных
для садоводства
Правовое основание обработки персональных данных: ст.Цель обработки персональных данных с целью: Предоставление услуг; выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с заявлениями граждан; обеспечение кадрового резерва, учет собственников и членов организации, ведение реестра.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:
Организационные меры: разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных.
Технические меры: обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также через сеть интернет с использованием протоколов шифрования SSL.
Средства обеспечения безопасности: Сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения;
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Лица, осуществляющие обработку персональных данных, обучены и проинструктированы под роспись.
Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана.
Срок или условие прекращения обработки персональных данных: Ликвидация (реорганизация) учреждения.
Сведения о способе обработки персональных данных или об информационной системе : Категории персональных данных осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество; дата рождения; место рождения; адрес; семейное положение; данные объекта собственности, подлежащего учету;
Специальные категории персональных данных: нет;
а также: Данные документов: паспорта РФ или документа его заменяющего, ИНН; СНИЛС; номер контактного телефона, адрес электронной почты
Категории субъектов, персональные данные которых обрабатываются принадлежащих: Сотрудники, с которыми заключены трудовые договоры; близкие родственники сотрудников; граждане, обратившиеся с заявлениями, их законные представители; граждане, направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; физические лица, состоящие в договорных или иных гражданско-правовых отношениях.
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка вышеуказанных персональных данных будет осуществляться путем: неавтоматизированная и автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;
Осуществление трансграничной передачи персональных данных: не осуществляется
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:
cтрана: Россия
адрес ЦОДа: ЦОДы ООО Яндекс Облако 141004, г.
cобственный ЦОД: нет
наименование организации: ООО Яндекс Облако.
тип организации: юридическое лицо
организационно-правовая форма: Общество с ограниченной ответственностью
адрес организации: 119021, г. Москва , ул. Льва Толстого, д 16
ИНН: 7704458262
ОГРН: 1187746678580
использование шифровальных (криптографических) средств: не используются
86-90 Трудового Кодекса РФ, Гражданский Кодекс РФ, 217 ФЗ, Устав
Хранение носителей баз данных, содержащих персональные данные, обеспечено. Несанкционированный доступ к базам персональных данных, исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Контроль учета лиц, допущенных к работе с персональными данными, ведётся.
Члены товарищества (организации), их родственники и доверенные лица, собственники участков и домовладений и иных объектов недвижимости на территории организации.
Мытищи ул Силикатная 19; 391434, Рязанская область, г. Сасово, ул Пушкина 21; 600902, Владимирская обл, г. Владимир, ул Энергетиков 37 по договору с ООО Би-Ти-Лайт (ИНН 7839342128).21.11.2022
Разработку и поддержку программного решения производит компания ООО Би-Ти-Лайт.
Актуальная версия договора-оферты на предоставление неисключительной лицензии e-poselok.ru.
Адрес для корреспонденции:
194358, Санкт-Петербург, а/я.
36.Отдел продаж:
Телефон в СПб: +7 (812) 507-88-93,
Телефон в Москве: +7 (499) 380-65-54,
E-mail: [email protected],
пн-пт: 11:00-18:00 (московское время)
Техподдержка:
E-mail: [email protected]
Данные пользователей надежно защищены, их передача зашифрована с помощью SSL протокола. Обработка данных пользователей осуществляется непосредственно операторами персональных данных (администрациями поселков или УК) с помощью предоставляемого программного обеспечения E-poselok. Администраторы E-poselok не обрабатывает персональные данные жителей поселков и не передают их 3м лицам.
Обработка прочих данных производится в соответствии с 152 ФЗ, с общей политикой обработки персональных данных E-poselok Вы можете ознакомиться здесь
© 2016- ООО Би-Ти-Лайт
BTLight infowizard solutions
X
Оставаясь на нашем сайте Вы соглашаетесь с тем, что наш сайт использует cookie-файлы, данные об IP-адресе, технических характеристиках Вашего устройства и браузера, Вашем местоположении в т.
ч. с применением счетчиков Яндекса и Google для целей сбора статистики, организации рекламы и качественного функционирования. Узнайте подробнее »»
Политика обработки персональных данных
1. Общие положения
Настоящая Политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Персональные данные). Закон о данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Яном Непомнящим (далее — Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее — Политика) распространяется на всю информацию, которую Оператор может получить о посетителях сайта https://nepochess.
com.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.3. Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://nepochess.com.
2.4. Информационная система персональных данных — совокупность персональных данных, содержащихся в базах данных, и информационных технологий и технических средств, обеспечивающих их обработку.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных к конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование , передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю Сайта https://nepochess.com.
2.
9. Персональные данные, разрешенные субъектом персональных данных к распространению — персональные данные, к которым неограниченный круг лиц имеет доступ субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных к распространению в соответствии с порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные к распространению).
2.10. Пользователь – любой посетитель сайта https://nepochess.com.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) либо ознакомление с персональными данными неограниченного круга лиц, в том числе публикация персональных данных в средствах массовой информации, размещение в информации и телекоммуникационных сетей или предоставления доступа к персональным данным иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
— самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или иным федеральным законодательством.
законы.
3.2. Оператор обязан:
– предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;
– организовать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;
– отвечать на запросы и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней со дня получения такого запроса;
– опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– выполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Информация предоставляется субъекту персональных данных Оператором в доступной форме и не должна содержать персональные данные, относящиеся к иным субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлены частью 7 статьи 14 Закона о персональных данных;
– требовать от оператора уточнения своих персональных данных, блокировать или уничтожать их в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите их права;
– указать условия предварительного согласия при обработке персональных данных в целях продвижения товаров, работ, услуг на рынке;
– отозвать согласие на обработку персональных данных;
– обращение в уполномоченный орган по защите прав субъектов персональных данных или в суд на неправомерные действия или бездействие Оператора при обработке его персональных данных;
— осуществлять иные права, предусмотренные законодательством Российской Федерации.
4.2. Субъекты персональных данных обязаны:
— предоставлять Оператору достоверные данные о себе;
– информировать Оператора об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, предоставившие Оператору заведомо ложные сведения о себе или сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1. Фамилия, имя, отчество.
5.2. Адрес электронной почты.
5.3. Телефонные номера.
5.4. Также на сайте осуществляется сбор и обработка персональных данных о посетителях (включая файлы cookie) с помощью интернет-статистики (Яндекс Метрика и Google Analytics и другие).
5.5. Вышеуказанные данные далее в тексте Политики объединены общим понятием Персональные данные.
5.6. Обработка специальных категорий персональных данных, касающихся расы, национальности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6. Принципы обработки персональных данных
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых друг с другом.
6.4. Обработке подлежат только персональные данные, соответствующие целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки не допускается.
6.6. При обработке персональных данных обеспечивается достоверность персональных данных, их достаточность, а при необходимости и актуальность по отношению к целям обработки персональных данных.
Оператор принимает необходимые меры и/или обеспечивает их принятие для удаления или уточнения неполных или недостоверных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, соглашением с которым является субъект персональных данных. персональных данных является стороной, выгодоприобретателем или поручителем. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки либо в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. Цели обработки персональных данных
7.1. Цель обработки персональных данных Пользователя:
– информирование Пользователя путем направления электронных писем;
– заключение, исполнение и расторжение гражданско-правовых договоров;
– предоставление Пользователю доступа к услугам, информации и/или материалам, содержащимся на сайте https://nepochess.
com.
7.2. Также Оператор вправе направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
8. Правовые основания обработки персональных данных
8.1. Правовыми основаниями обработки персональных данных Оператором являются:
– договоры, заключаемые между оператором и субъектом персональных данных;
– федеральные законы, иные нормативные правовые акты в области защиты персональных данных;
– Согласие Пользователей на обработку их персональных данных.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://nepochess.com, или направленные Оператору по электронной почте. Заполняя соответствующие формы и/или направляя Оператору свои персональные данные, Пользователь соглашается с настоящей Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие свободно, своей волей и в своем интересе.
9. Порядок сбора, хранения, передачи и иных видов обработки персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для полного соблюдения требований действующее законодательство в области защиты персональных данных.
9.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры для исключения доступа к персональным данным посторонних лиц.
9.2. Персональные данные Пользователя никогда, ни при каких обстоятельствах не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства или если субъект персональных данных дал согласие Оператору на передачу данных третьему лицу для исполнения обязательств. по гражданско-правовому договору.
9.3. В случае выявления неточностей в персональных данных Пользователь может актуализировать их самостоятельно, направив Оператору уведомление на электронный адрес Оператора
[email protected] 9.4. Срок обработки персональных данных определяется достижением целей, для которых осуществлялся сбор персональных данных, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любое время отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на адрес электронной почты Оператора dumai.
[email protected] с пометкой «Отзыв согласия на обработку персональных данных».
9.5. Вся информация, собираемая сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается этими лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан своевременно ознакомиться с указанными документами. Оператор не несет ответственности за действия третьих лиц, в том числе поставщиков услуг, указанных в настоящем пункте.
9.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных к распространению, не применяются в случаях обработки персональных данных. данные в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
9.7.
При обработке персональных данных Оператор обеспечивает конфиденциальность персональных данных.
9.8. Оператор хранит персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, соглашением с которым является субъект персональных данных. является стороной, выгодоприобретателем или поручителем.
9.9. Условием прекращения обработки персональных данных может быть достижение целей обработки персональных данных, истечение срока согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление факта неправомерной обработки. персональных данных, получение запроса об уничтожении персональных данных, направленного в соответствии с положениями статей 14 и 23 Закона о персональных данных.
10. Перечень действий, совершаемых Оператором с полученными персональными данными
10.
1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
10.2. Оператор осуществляет автоматизированную обработку персональных данных с получением или без получения и/или с передачей полученной информации по информационно-телекоммуникационным сетям.
11. Трансграничная передача персональных данных
11.1. Перед началом трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранное государство, на территорию которого предполагается осуществить передачу персональных данных, обеспечивает надежную защиту прав субъектов персональных данных.
11.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
12. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральный закон.
13. Заключительные положения
13.1. Получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, Пользователь может, обратившись к Оператору по электронной почте
[email protected] 13.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно, пока не будет заменена новой версией.
13.3. Действующая редакция Политики находится в свободном доступе в сети Интернет по адресу https://www.nepochess.com/politika-konfidencialnosti.
Защита персональных данных — SearchInform
Решения по защите персональных данных в российских компаниях и учреждениях формируются на основе организационно-технических мероприятий.
Они должны соответствовать нормам правовых актов: Конституции РФ (ст. 24), Федеральному закону № 152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор;
- Федеральная служба по техническому и экспортному контролю — ФСТЭК;
- Федеральная служба безопасности — ФСБ.
Роскомнадзор осуществляет контроль за исполнением законодательства о персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям обеспечения безопасности информационных систем обработки персональных данных.
Что такое персональные данные?
Определение персональных данных (ПДн) содержится в Законе 152-ФЗ.
Ключевой особенностью толкования является словосочетание «любая информация», то есть закон позволяет всем организациям регистрироваться в качестве «операторов персональных данных».
Логика ясна. При устройстве на работу, например, человек передает всю информацию о себе работодателю, а при заключении, скажем, договора с физическим лицом получает и обрабатывает персональные данные. Государственные органы, банки, интернет-магазины, социальные сети — лишь несколько примеров из обширного списка операторов ПДн.
Санкции за нарушение норм законодательства в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов увеличены) до административной ответственности, не исключено и привлечение к уголовной ответственности.
Нарушение порядка обращения с персональными данными также грозит потерей деловой репутации. Выявление таких фактов в компании часто становится причиной оттока клиентов. Это означает, что для каждой компании, прямо или косвенно оперирующей персональными данными, жизненно необходимо соблюдать требования 152-ФЗ и выполнять предписания регулирующих и контрольных структур в сфере персональных данных.
Не существует универсального подхода к удовлетворению требований всех организаций, подлежащих регулирующему контролю. Согласно закону, персональные данные делятся на четыре категории. Компании формируют систему защиты персональных данных в зависимости от категории; соответственно требования к оператору тоже различаются.
Наиболее сложным и затратным процессом является внедрение полноценного комплекса обеспечения безопасности информационной системы персональных данных (ИСПДн), в которой обрабатывается информация о расе и нации субъекта, вере, состоянии здоровья, интимной жизни, политических и философские взгляды. Все вышеперечисленные данные входят в группу специальных ПД. Закон требует, чтобы защита информации из этой категории была особенно тщательной.
Требования закона к обеспечению безопасности и биометрических ПДн высоки: биологические и физиологические характеристики, позволяющие идентифицировать субъекта данных.
Оператором общедоступных ПДн становится компания, получившая письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о занятости, контактной информации.
Такая информация используется, например, для составления телефонных справочников. Законодательство устанавливает минимальные требования к защите общедоступных персональных данных по сравнению с другими категориями.
К четвертой категории — иные ПДн — относятся все сведения, которые не могут быть отнесены к специальным, биометрическим или специальным, но по которым можно идентифицировать субъекта данных. Защитить другие ПД проще, чем биометрические или специальные. Однако требования безопасности выше, чем в случае систем обработки данных из общего доступа.
Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» операторы при создании механизмов защиты должны учитывать количество субъектов ПДн. Законодательство делит ИСПД на те, в которых данные обрабатывают менее 100 тысяч и более 100 тысяч субъектов.
Необходимо учитывать возможность присутствия внутреннего нарушителя в инфраструктуре комплексной защиты ИСПД.
Любой сотрудник может нанести ущерб персональным данным умышленно или по неосторожности.
Меры, помогающие предотвратить несанкционированный доступ, повысить надежность и отказоустойчивость ИСПД, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:
1. Определить масштаб информационной системы и категорию персональных данных, смоделировать угрозы безопасности.
2. Внедрить организационно-технические механизмы безопасности по четырем уровням безопасности. Определение уровней содержится в постановлении правительства №1119.
3. Использовать средства защиты информации, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.
4. Перед началом обработки ПДн провести комплексный аудит безопасности, включающий проверку информационной системы, компонентов безопасности, соблюдение требований внутренних организационно-методических приказов.
5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.
6. Внедрить функции резервного копирования и восстановления персональных данных в информационной системе в случае несанкционированного изменения или уничтожения.
7. Установить правила доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны быть сегментированы в зависимости от должностных обязанностей.
8. Внедрить инструменты для аудита и протоколирования действий сотрудников с персональными данными.
9. Контролировать выполнение правил безопасности работы с персональными данными и непрерывность работы защитных аппаратно-программных служб ИСПДн.
Федеральным законом обозначено общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21. Например:
1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы, персональной информации — объектов доступа, которые должны быть защищены. Реализация требования предполагает сравнение уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПД.
Это означает, что необходимо использовать механизмы авторизации и разграничения прав.
2. Программная среда должна быть ограниченной, что предполагает наличие фиксированного перечня системного и прикладного ПО. Пользователь должен быть лишен прав на изменение набора системных компонентов и разрешенного программного обеспечения. Пользователь имеет право запускать и использовать программное обеспечение в рамках своей роли. Это защитит от случайных действий сотрудников, которые могут повредить ИСПД.
3. Хранение и обработка ПДн на съемных носителях возможны только при исправном устройстве учета.
4. Оператор должен обеспечить непрерывный контроль безопасности: вести контрольный журнал событий, чтобы отслеживать, что произошло и какие меры были приняты. При этом следует надежно защитить сам журнал аудита от модификации и удаления.
5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО часто становится причиной утечки конфиденциальной информации и частичного (реже — полного) выхода из строя информационной инфраструктуры.
6. Наряду с антивирусом рекомендуется использовать системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты несанкционированного доступа на уровне сети или компьютерной системы, попыток злоупотребления полномочиями или внедрения вредоносных программ и принимать меры по устранению угроз: информирование сотрудника службы безопасности, сброс соединения, блокировка трафика и т. д.
7. Несанкционированные изменения, повреждения информационной системы и ПД также фиксируются системами обеспечения целостности, которые при использовании в ИСПД должны иметь функции восстановления поврежденных компонентов и информации.
8. Уровень защищенности ИСПД подлежит регулярному контролю. Развернутые программные компоненты, аппаратные средства и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации на основе экспертного класса информационной системы.
Перечень установленных ФСТЭК мер по внедрению системы безопасности ИСПД не ограничивается несколькими пунктами.
Приказ №21 содержит требования к средствам виртуализации, каналам связи, конфигурации ИСПД, классам вычислительной техники, антивирусным системам и другим параметрам защиты. Помимо приказа ФСТЭК, при внедрении комплекса защиты персональных данных организация — оператор персональных данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.
Невозможно разработать и реализовать полный комплекс мер по защите персональных данных без овладения нормативно-правовой базой, навыков настройки технических средств, знания принципов работы программного обеспечения, обеспечивающего информационную безопасность. Это означает, что защищать персональные данные с помощью одного сотрудника как минимум недальновидно. Единственная ошибка на любом уровне чревата штрафами со стороны регуляторов и потерей лояльности клиентов.
Сотрудник без компетенций в области информационной безопасности может разбираться в законодательстве и определять категорию персональных данных. Размещенные в Сети пошаговые инструкции помогут разработать регламент информирования субъектов ПДн о сборе информации и оформить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн — это типовые документы.
Определение ролей, разграничение доступа и фиксация того, какие сотрудники имеют доступ и какие операции имеют право выполнять с персональными данными, — несложная задача для специализированного программного обеспечения.
На этапе составления политики безопасности и выявления актуальных угроз не обойтись без привлечения специалиста, обладающего профильными знаниями. Цикл внедрения программно-аппаратных комплексов от подбора до «боевого» применения программно-аппаратных комплексов требует понимания документации ФСТЭК и ФСБ. Специалист должен быть не только знаком с кабинетами СВТ, антивирусов и брандмауэров, но и знать, как гарантировать конфиденциальность и обеспечить надежную связь для сегментов ИСПД.
Проблема в том, что даже ИТ-специалист или специалист по информационной безопасности с требуемой квалификацией не сможет внедрить и поддерживать подсистему информационной безопасности в ИСПД без соблюдения ряда условий. Работа со средствами технической защиты является деятельностью, лицензированной ФСТЭК.
