Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция) \ КонсультантПлюс
- Главная
- Документы
Подготовлена редакция документа с изменениями, не вступившими в силу
27 июля 2006 года N 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят
Государственной Думой
8 июля 2006 года
Одобрен
Советом Федерации
14 июля 2006 года
Список изменяющих документов
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,
от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,
от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ,
от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ,
от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ,
от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ,
от 22.02.2017 N 16-ФЗ, от 01.
07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ,
от 31.12.2017 N 498-ФЗ, от 27.12.2019 N 480-ФЗ, от 24.04.2020 N 123-ФЗ,
от 08.12.2020 N 429-ФЗ, от 30.12.2020 N 515-ФЗ, от 30.12.2020 N 519-ФЗ,
от 11.06.2021 N 170-ФЗ, от 02.07.2021 N 331-ФЗ, от 14.07.2022 N 266-ФЗ)
(см. Обзор изменений данного документа)
- Глава 1. Общие положения
- Статья 1. Сфера действия настоящего Федерального закона
- Статья 2. Цель настоящего Федерального закона
- Статья 3. Основные понятия, используемые в настоящем Федеральном законе
- Статья 4. Законодательство Российской Федерации в области персональных данных
- Глава 2. Принципы и условия обработки персональных данных
- Статья 5. Принципы обработки персональных данных
- Статья 6. Условия обработки персональных данных
- Статья 7. Конфиденциальность персональных данных
- Статья 8. Общедоступные источники персональных данных
- Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
- Статья 10.
Специальные категории персональных данных - Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
- Статья 11. Биометрические персональные данные
- Статья 12. Трансграничная передача персональных данных
- Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
- Глава 3. Права субъекта персональных данных
- Статья 14. Право субъекта персональных данных на доступ к его персональным данным
- Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
- Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
- Статья 17. Право на обжалование действий или бездействия оператора
- Глава 4.
- Статья 18. Обязанности оператора при сборе персональных данных
- Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
- Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
- Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
- Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
- Статья 22. Уведомление об обработке персональных данных
- Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
- Глава 5. Федеральный государственный контроль (надзор) за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
- Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
- Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных
- Статья 24. Ответственность за нарушение требований настоящего Федерального закона
- Глава 6. Заключительные положения
- Статья 25. Заключительные положения
Специальные категории персональных данных
Ответственность за нарушение требований настоящего Федерального законаГлава 1. Общие положения
Кого ФЗ-152 считает оператором персональных данных?
Рассказываем в тексте, как должны храниться персональные данные и почему они попадают в сеть. Рассматриваем также, как распределяются зоны ответственности и какие федеральные законы регламентируют действия операторов данных.
О чем ФЗ-152
В России с 2007 года действует Федеральный закон №152, в котором отражено большинство требований и предписаний, касающихся защиты персональных данных от использования третьими лицами.
Закон регулярно дополняется, поэтому отвечает большинству тенденций.
25 мая 2022 года в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА.
ФЗ-152 регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть не только интернет-ресурсы, но и бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно безошибочно идентифицировать человека. Например, одного ФИО для этого часто недостаточно, поскольку таких людей даже в одном городе может быть несколько. Хотя исключения и уникальные ФИО тоже бывают.
Какими бывают персональные данные:
- Общедоступные. Эти данные открыты неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ, либо на основании ФЗ: выписки из ЕГРЮЛ или ЕГРИП.
- Биометрические. В эту группу попадает информация о биологических и физиологических особенностях, которые используются для идентификации. Отпечатки пальцев, даже образцы голоса и сканы сетчатки глаз.
- Специальные. Сюда относятся не только данные, которые хранят карточки в поликлиниках. Это также информация о судимостях и прохождении воинской службы. Информация о расовой и национальной принадлежности, политических и религиозных взглядах.
- Иные. Название группы достаточно общее, но это самая популярная категория персональных данных. Сюда относятся данные, которые не были упомянуты в других группах. Это ФИО, адрес, паспортные данные, электронная почта и мессенджеры, стаж работы — данные, полученные с согласия субъекта. Эти данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.
Тем не менее, не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников.
Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.
В мире социальных сетей и интернет-покупок персональные данные можно считать персональными лишь частично. С ними постоянно взаимодействуют различные сервисы, они обрабатываются и хранятся в самых разных условиях. Данные часто становятся товаром для бесплатных VPN и спам-сервисов. На заседании от 25 мая также обратили внимание на компании, занятые передачей трансграничных ПДн, поэтому этот сектор в ближайшее время скорее всего ждут новые ограничения и новые санкции за несоблюдение мер безопасности.
Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам данных хранить их на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.
Кого касается ФЗ-152
Может показаться, что исполнять требования ФЗ-152 должны только банки и медицинские учреждения. То есть организации, работающие с целым набором документов и данных.
На самом деле, под действие закона попадают почти все информационные системы. Интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.
Многие компании воспринимают требования ФЗ-152 как ростовую фигуру, за которой может не стоять содержания. Кажется, что достаточно спросить пользователя, готов ли он записать данные в cookie, и все. Система действительно может так работать до первой утечки данных или до проверки регулятором.
Если говорить о технической защите персональных данных, то стоит обратиться к подзаконным актам 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК. В них прописаны меры обеспечения защиты персональных данных, в зависимости от характера данных.
Например, сервисам, которые обрабатывают специальные категории персональных данных >100000 пользователей необходимо соблюдать защитные меры второго уровня защищенности.
Для каждой системы должна быть разработана модель угроз. Несмотря на то, что применение криптографических средств защиты не является обязательным пунктом при защите персональных данных, они могут требоваться, если актуальны угрозы, связанные с перехватом персональных данных по каналам связи.
Или когда из модели угроз требуется использовать криптографические средства для шифрования баз данных с персональными данными.
Почему персональные данные попадают в сеть
Причин, почему персональные данные оказываются в открытом доступе, достаточно много. Все инциденты можно локализовать на трех уровнях: на уровне персонала, приложения или инфраструктуры. Стоит заметить, что ФЗ-152 в меньшей степени сконцентрирован на действиях персонала, способствующих утечке ПДн. Его фокус направлен на то, как компании должны организовать работу с конкретным типом данных.
Уровень персонала
Все инциденты утечек данных тщательно расследуются с применением DLP-систем анализа трафика сотрудников. Всей правды мы никогда не узнаем, но, например, исследование RTM Group говорит, что чаще всего в утечках данных виноваты сотрудники салонов сотовой связи.
Правильнее читать эту новость в другом ключе.
Чаще всего в утечках данных виноваты не вредоносные программы или уязвимости в инфраструктуре, а персонал.
Сотрудники часто раскрывают персональные данные случайно, когда общаются с конкурентами или коллегами с другим уровнем допуска.
В этом деле всегда есть место обычной халатности и незаблокированным экранам. Часто данные просто копируют и уносят на флешках, чтобы продать.
Бороться с такими преступлениями следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.
Уровень приложения
Утечка персональных данных может случиться на уровне приложения.
Само приложение может содержать массу уязвимостей, поэтому если утечка произошла на уровне приложения, то даже провайдер, который полностью выполняет обязательства ФЗ-152 на уровне инфраструктуры, не может на это повлиять, поскольку это находится не в его зоне ответственности. Например, для услуги выделенные серверы Selectel, схема ответственности выглядит следующим образом:
| Зона ответственности клиента | Зона ответственности Selectel |
| Клиентские данные | Сетевое оборудование Selectel |
| Прикладное программное обеспечение | Аппаратная инфраструктура |
| Связующее программное обеспечение | Средства обеспечения функционирования (электропитание, кондиционирование и т.  д.) |
| Системное программное обеспечение | |
| Сетевое оборудование заказчика |
Если клиент размещает свои информационные системы/приложения с персональными данными у провайдера, то ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.
Стоит заметить, что выделенные серверы и облака проходят «раздельную» оценку эффективности принимаемых мер защиты персональных данных по 152-ФЗ. Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют ФЗ-152 и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне защищенности возможно хранить, например, почти все персональные и медицинские данные до 100 000 субъектов.
С клиентской точки зрения, это решение не несет каких-либо дополнительных затрат, поскольку является особенностью инфраструктуры компании.
В России есть несколько специализированных центров, которые с равным успехом проводят мероприятия по оценке эффективности.
Процедура оценки эффективности принимаемых мер защиты предполагает проверку соответствия инфраструктуры провайдера на соответствие уровню защиты. Сам провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса. Процесс предполагает оценку как организационных (документация, приказы и т.п.), так и технических мер (настройка средств защиты и пр.).
С точки зрения бизнеса, следует еще на этапе выбора провайдера проверить наличие Акта оценки эффективности или Аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.
Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.
ФЗ-152 как верхушка айсберга. Что еще можно сделать для безопасности данных
Аттестованный сегмент ЦОД — это не только соответствие Tier III.
По факту это отдельные стойки, которые дополнительно оборудованы электронным замком со стороны холодного и горячего коридоров и дополнительными камерами. В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном. Таким образом достигается изоляция систем клиента от других клиентов и сетей Selectel. Доступ в это пространство имеют, как правило, только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.
Ключевая проблема, которую решает размещение в аттестованном сегменте ЦОД — потребность в полном контроле за безопасностью и аттестации своей системы для операторов данных.
Арендуйте выделенные серверы, соответствующие ФЗ-152
Воспользуйтесь конфигуратором, чтобы подобрать решение для вашего бизнеса.
Собрать сервер
Важные изменения в российском законодательстве о защите персональных данных
Менее чем через месяц вступят в силу поправки в Закон №152-ФЗ «О персональных данных», которые коснутся практически каждой компании.
Указанные изменения внесены Федеральным законом от 14.07.2022 № 266-ФЗ; Таким образом, законодатель оставил операторам персональных данных чуть больше месяца на то, чтобы разобраться с нововведениями.
Ниже мы приводим обзор основных изменений, на которые следует обратить особое внимание. Они вступят в силу 1 сентября 2022 года.
Увеличилось количество случаев, когда оператор должен уведомлять Роскомнадзор об обработке персональных данных. Например, при оформлении в рамках трудовых отношений они используются для оформления единого пропуска на территорию, а также в ряде других случаев.
Дополнены требования, которые оператор должен включить в договор в случае возложения обработки персональных данных на другое лицо. Такие поручения могут быть выданы при заключении договоров по корпоративной программе ДМС, регистрации зарплатного проекта в банке, организации обучения сотрудников, организации корпоративной мобильной связи.
Согласие субъекта персональных данных должно быть конкретным и недвусмысленным; таким образом, большинству компаний потребуется пересмотреть и изменить стандартную форму согласия.
Сокращено время ответа на запрос субъекта персональных данных – оператор должен дать ответ в течение 10 рабочих дней. Субъект персональных данных вправе запросить информацию о выполнении оператором обязанностей, предусмотренных Законом № 152-ФЗ.
Дополнен перечень документов, которые должны быть разработаны и приняты оператором. Помимо политики в отношении обработки персональных данных необходимы локальные акты, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки. обработки и хранения, а также порядок уничтожения персональных данных.
Политика Оператора в отношении обработки персональных данных должна быть размещена, в том числе, на страницах сайта, на которых осуществляется сбор персональных данных. Это актуально для компаний, принимающих заявки, обращения или резюме кандидатов на своих сайтах, а также в случае использования файлов cookie.
Об инцидентах, повлекших за собой неправомерную передачу (предоставление, распространение, доступ) персональных данных, необходимо уведомлять Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а также в течение 72 часов с момента получения результатов служебного расследования, а также дополнительно взаимодействовать с ФСБ через новую информационную систему ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Положения Закона № 152-ФЗ теперь распространяются на иностранных юридических и физических лиц, если они осуществляют обработку персональных данных граждан Российской Федерации на основании договора или иного соглашения, сторонами которого являются граждане Российской Федерации, либо на основании на основании согласия гражданина Российской Федерации на обработку его персональных данных. Это актуально для компаний, которые ведут общие базы данных на стороне иностранных компаний.
Также с 01.03.2023 вступают в силу изменения, связанные с трансграничной передачей персональных данных, согласно которым операторы обязаны уведомлять Роскомнадзор о намерении осуществить трансграничную передачу персональных данных и получать разрешение в случае страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных. Например, на момент публикации в список стран, предоставляющих такую защиту, не входят США, Китай или страны Ближнего Востока.
В случае нарушения требований Закона № 152-ФЗ на компанию может быть наложен крупный штраф до 6 млн рублей. Несмотря на то, что Роскомнадзор не будет проводить плановые проверки до конца 2022 года, мы рекомендуем использовать это время для разработки недостающих внутренних документов, регламентирующих обработку персональных данных, и налаживания процессов взаимодействия.
Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.
1. Политика в отношении обработки персональных данных (далее – Политика) устанавливает
основные положения, касающиеся обработки персональных данных пользователей сайта (далее –
субъекта персональных данных), собираемых оператором на принадлежащем ему сайте «Интернет»
информация и телекоммуникации
сети https://visa-russian.ru (далее – сайт).
1.2. Данная политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иные нормативные правовые акты Российской Федерации регулирующие отношения в сфере обработки персональных данных.
1.3. Перечень личных вещей, подлежащих сбору в лечебном учреждении, устанавливается в соответствии с требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
1.4. Оператор руководствуется следующими основными принципами обработки персональных данных:
- обработка персональных данных должна осуществляться на законной и добросовестной основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законные цели;
- не допускается обработка персональных данных, несовместимая с целями сбора личные данные;
- не могут быть объединены базы данных, содержащие персональные данные, обработка которых осуществляется в целях которые несовместимы друг с другом;
- обрабатывать только те персональные данные, которые соответствуют целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям уход;
- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработка;
- при обработке персональных данных должна быть обеспечена достоверность персональных данных, достаточность, и когда это необходимо и уместно в отношении целей обработки персональных данных;
- оператор должен принять необходимые меры, чтобы обеспечить свое обязательство по удалению или уточнить неполные или неточные данные;
- персональные данные должны храниться в форме, определяющей субъект персональных данных, не более требуется в целях обработки персональных данных, если срок хранения персональных данных установленные федеральным законом, договоры к которым, бенефициаром которых является субъект личные данные;
- обрабатываемые персональные данные подлежат уничтожению или обезличиванию до достижения обработки
целей, либо в случае утраты необходимых для достижения этих целей, если иное не предусмотрено
Федеральный закон.
1.5. Обработка персональных данных осуществляется исключительно в целях оказания услуг, для который обращается к субъекту персональных данных на сайте оператора.
1.6. субъект данных будет свободно принимать решение о своих личных данных и соглашаться на их обработку своей воле и в своих интересах. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъекта персональных данных или его представителя в любой возможной форме подтвердить факт получения им форме, если иное не установлено федеральным законом. В случае согласия на обработку персональных данных у представителя субъекта персональных данных полномочиями представитель.
2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. субъект персональных данных имеет право на получение следующей информации (далее – информация):
- подтверждение обработки персональных данных оператором;
- правовая основа и назначение персональных данных;
- цели и методы, применяемые оператором обработки персональных данных;
- наименование и адрес оператора, сведения о лицах (за исключением сотрудники оператора), которые имеют доступ к персональным данным, либо которые могут быть раскрыты персональные данные на основании договора с оператором либо на основании федерального закона;
- обрабатывать персональные данные, относящиеся к соответствующему субъекту персональных данных, их источник, если иной порядок представления таких сведений не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок реализации прав субъекта персональных данных;
- Информация об осуществлении предполагаемой трансграничной передачи или передачи данных;
- имя или фамилия, имя и адрес лица, осуществляющего обработку персональных данных от имени оператора, если за обработку взимается или будет взиматься плата персона;
- иные сведения, предусмотренные действующим законодательством.
2.2. субъект данных вправе потребовать от оператора уточнения своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно получены или не являются необходимыми для заявленной цели обработки, а также принять юридические меры по защите своих прав
2.3. Информация должна быть предоставлена субъекту персональных данных оператором в доступной форме, и они не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких личные данные.
2.4. Информация предоставляется субъектом персональных данных или его представителем оператором при
обработке или при получении запроса субъекта персональных данных или его представителя. Запрос
должен содержать номер основного документа, удостоверяющего личность субъекта личных
данных или его представителя, дату выдачи документа и орган, выдавший документ,
сведения, подтверждающие участие субъекта персональных данных в отношении
оператора (номер договора, дата заключения договора, условное словесное обозначение и
(или) иная информация) либо сведения, иным образом подтверждающие обработку персональных данных
оператора, подпись субъекта персональных данных или его представителя.
2.5. Если информация и обработка персональных данных были доступны для консультации субъекта персональных данных по запросу, субъект персональных данных вправе повторно обратиться к оператору или повторить его запрос в целях получения информации и ознакомления с такими персональных данных не ранее чем через тридцать дней после первоначального запроса или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с с ним правильный нормативный акт
2.6. субъект персональных данных вправе повторно обратиться к оператору или повторить свой запрос
в целях получения информации, а также для ознакомления с процессом обработки персональных данных
до истечения тридцати дней в случае, если такая информация и (или) обрабатываемая
персональные данные не были предоставлены ему для ознакомления в полном объеме с учетом результатов
первоначальное лечение. Второй запрос должен содержать обоснование по направлению
повторный запрос.
2.7. Обработка персональных данных в целях продвижения товаров, работ и услуг на рынке, установив прямой контакт с потенциальным клиентом с помощью средств связи, а также в целях политической пропаганды допускается только с предварительного согласия субъект персональных данных. Такая обработка персональных данных признается осуществляемой без предварительное согласие субъекта персональных данных, если оператор не докажет, что такое согласие было полученный.
2.8. Запрещено принятие на основе исключительно автоматизированной обработки персональных данных решений, которые порождают юридические последствия в отношении субъекта персональных данных либо иным образом влияют на права и законные интересы.
2.9. Решение влечет правовые последствия в отношении субъекта персональных данных или
иным образом затрагивающие права и законные интересы, могут быть приняты исключительно на основании
автоматизированная обработка его персональных данных только с письменного согласия субъекта
персональных данных либо в случаях, предусмотренных федеральными законами, устанавливающими и мерами по обеспечению
соблюдение прав и законных интересов субъекта персональных данных.
2.10. Оператор обязан разъяснить субъекту персональных данных порядок внесения решения, основанные исключительно на автоматизированной обработке персональных данных и возможном последствия такого решения, дают возможность выдвинуть возражение против этого решение, а также уточнить порядок защиты персональных данных субъекта персональных данных права и законные интересы.
2.11. Если субъект данных считает, что оператор осуществляет обработку персональных данные в нарушение требований настоящего Федерального закона или иным образом в нарушение его прав и свобод, субъект данных имеет право обжаловать действия или бездействия оператора в уполномоченный орган по защите прав субъектами данных или в судах
2.12. субъект персональных данных имеет право на защиту своих законных прав и интересов, в том числе о возмещении убытков и (или) компенсации морального вреда в судебном порядке.
3. ОБЯЗАННОСТИ ОПЕРАТОРА
3.
1. При сборе персональных данных оператор обязан предоставить предмет персональных
данные по запросу информации, указанной в пункте 2.1 настоящей Политики
3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных правовые последствия непредоставления их личные данные.
3.3. В случае если персональные данные не получены от субъекта персональных данных, оператор до обработка персональных данных необходима для предоставления следующей информации субъекту личные данные:
- имя или фамилия, имя и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник персональных данных.
Оператор освобождается от обязанности предоставлять указанному предмету личного информацию в следующих случаях:
- субъект данных уведомлен об осуществлении обработки его персональных данных соответствующий оператор;
- персональные данные, полученные оператором на основании федерального закона или в связи с выполнение контракта, по которому любой выгодоприобретатель или поручитель по нему является предметом личные данные;
- персональные данные становятся доступными для общественности с учетом персональных данных или получены от общедоступный источник;
- оператор осуществляет обработку персональных данных для статистических или иных исследований целях, для профессиональной деятельности журналиста или научного, литературного или иного творческой деятельности, если она не нарушает права и законные интересы личных субъект данных;
- предоставление субъектом персональных данных этой информации нарушает права и
законные интересы третьих лиц.
3.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационных сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, модификация), извлечение русской Персональные данные граждан Российской Федерации с использованием баз данных на территории Российской Федерации. Федерация.
3.5. Оператор обязан принять меры, необходимые и достаточные для обеспечения того, чтобы обязанности, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящим Политика.
3.6. В случае неправомерной обработки персональных данных при доступе к персональным данным
субъекта или его представителя либо по запросу субъекта персональных данных или его представителя либо
уполномоченный орган по защите прав субъектов персональных данных, оператор
должен осуществлять блокировку неправомерно обрабатываемых персональных данных, относящихся к персональным данным
субъекта, либо обеспечить их блокировку (в случае если обработка персональных данных осуществляется иным
лицо, действующее от имени оператора Атор), поскольку такая обработка или подготовка указанного
период проверки запроса.
В случае предоставления недостоверных персональных данных при доступе к
субъекта персональных данных или его представителя как по их требованию, так и по требованию
уполномоченный орган по защите прав субъектов персональных данных, оператор обязан
осуществить блокировку персональных данных, относящихся к субъекту персональных данных, либо предоставить
их с блокировкой (в случае обработки персональных данных иным лицом, действующим от имени
оператора) после такой обработки или подготовки указанного запроса проверяется срок и, если
блокировка персональных данных не нарушает права и законные интересы персональных данных
субъект или третье лицо.
3.7. В случае подтверждения недостоверности персональных данных Оператор на основании
информация, предоставленная субъектом персональных данных или его представителем либо уполномоченным
полномочия на защиту прав субъектов персональных данных или иные необходимые документы, необходимые
уточнить персональные данные или предоставить им уточнение (в случае, если обработка персональных данных
осуществляется другим лицом, действующим от имени оператора) в течение семи рабочих дней с
даты предоставления такой информации и снять блокировку личного Данн х.
3.8. В случае неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим от имени оператора, в срок, не превышающий трех рабочих дней с с момента обнаружения обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерного обращения с персональными данными лица, действующего от имени оператора. Если обеспечить правомерность обработки персональных данных невозможно, оператор в течение срока не более десяти рабочих дней со дня обнаружения неправомерной обработки персональных данные должны уничтожить такие персональные данные или обеспечить уничтожение. Для устранения нарушения или уничтожения персональных данных, оператор обязан уведомить субъекта персональных данных или его представитель,
3.9. В случае отзыва согласия субъекта персональных данных на обработку его персональных
данных, оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если
обработка персональных данных, осуществляемая иным лицом, действующим по поручению оператора) и
в случае, если хранение персональных данных больше не требуется для целей обработки персональных
данных, уничтожить персональные данные или обеспечить уничтожение (в случае если обработка персональных данных
осуществляется другим лицом, действующим от имени Императора) в срок, не превышающий
тридцать дней с даты получения указанного отзыва.
3.10. В случае отсутствия возможности уничтожения персональных данных в срок указанных в пункте 3.9 настоящей Политики, оператор осуществляет блокировку персональных данных и обеспечивает их блокировку (в случае если обработка персональных данных осуществляется иным лицо, действующее от имени оператора) и обеспечивает уничтожение персональных данных в бессрочный срок более шести месяцев, если иное не установлено федеральными законами.
4. БЕЗОПАСНОСТЬ ЛИЧНЫХ ДАННЫХ
4.1. Оператор при обработке персональных данных обязан принимать необходимые юридические, организационные и технические меры или обеспечить их принятие для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставление, распространение персональных данных, а также иные неправомерные действия в отношении личные данные.
4.2. Обеспечение безопасности персональных данных достигается за счет:
- определение угроз безопасности персональных данных при их обработке в составе информации системы персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требования к защите персональных данных, выполнение которых предусматривает совокупность Российская Федерация, уровни защиты персональных данных государством;
- применение в установленном порядке процедуры подтверждения соответствия средства защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввод в действие информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа к их;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и регистрации всех действий совершенные с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня
защита персональных данных информационных систем.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. Контроль за соблюдением данной политики осуществляется надлежащим образом должностными лицами оператора лица.
5.2. Лица, признанные виновными в нарушении требований настоящей Политики, Российская Федерация нести ответственность, установленную законом.
5.3. Оператор имеет право вносить изменения в настоящую политику по мере необходимости или в связи с изменениями в действующее законодательство. Все изменения подлежат немедленной публикации на сайте.
5.4. Сайт может содержать ссылки на другие интернет-ресурсы, не контролируемые оператор. Переход на данные интернет-ресурсы осуществляется исключительно по волеизъявлению субъект персональных данных. Оператор не несет ответственности за конфиденциальность или безопасность в Интернете Ресурсы.
5.5. Для оказания услуг на сайте после ознакомления с персональными данными применяется настоящая Политика.
