Фз номер 152 о персональных данных: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

Разное 

152-ФЗ — Статья 10 — Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

7. 1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены указанным Федеральным законом.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Положения статьи 10 закона №152-ФЗ используются в следующих статьях:
  • Статья 6 Условия обработки персональных данных
    2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
    Открыть статью
  • Статья 9 Согласие субъекта персональных данных на обработку его персональных данных
    2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Открыть статью

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020)

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят

Государственной Думой

8 июля 2006 года

Одобрен

Советом Федерации

14 июля 2006 года

  • Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
    • Статья 1. Сфера действия настоящего Федерального закона
    • Статья 2. Цель настоящего Федерального закона
    • Статья 3. Основные понятия, используемые в настоящем Федеральном законе
    • Статья 4. Законодательство Российской Федерации в области персональных данных
  • Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Статья 5. Принципы обработки персональных данных
    • Статья 6. Условия обработки персональных данных
    • Статья 7. Конфиденциальность персональных данных
    • Статья 8. Общедоступные источники персональных данных
    • Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
    • Статья 10. Специальные категории персональных данных
    • Статья 11. Биометрические персональные данные
    • Статья 12. Трансграничная передача персональных данных
    • Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
  • Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
    • Статья 14. Право субъекта персональных данных на доступ к его персональным данным
    • Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
    • Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
    • Статья 17. Право на обжалование действий или бездействия оператора
  • Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА
    • Статья 18. Обязанности оператора при сборе персональных данных
    • Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
    • Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    • Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
    • Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
    • Статья 22. Уведомление об обработке персональных данных
    • Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
  • Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
    • Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
    • Статья 24. Ответственность за нарушение требований настоящего Федерального закона
  • Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
    • Статья 25. Заключительные положения

Облако 152-ФЗ для безопасного хранения персональных данных

Что определяет Закон о персональных данных (152-ФЗ) как персональные данные?

Согласно закону, любая идентифицирующая информация о человеке считается персональными данными, включая имя, контактные данные, пол и так далее. Закон распространяется как на клиентов, так и на сотрудников. Другими словами, если вы работаете с людьми, вы почти наверняка подпадаете под действие Закона о персональных данных.

Кто является оператором персональных данных по 152-ФЗ?

В рамках Закона о персональных данных любое лицо, обрабатывающее персональные данные, считается «оператором». Достаточно вести личный учет, использовать CRM или отслеживать посетителей сайта с помощью Яндекс Метрики или Google Analytics.

Компании, работающие в сфере финансовых услуг, здравоохранения, образования, гостиничного бизнеса, телекоммуникаций, рекламы и розничной торговли, наиболее подвержены проверкам со стороны регулирующих органов.

В контексте 152-ФЗ системы обработки персональных данных представлены бизнес-приложениями, почтовыми системами, службами каталогов (например, Microsoft Active Directory, Novell eDirectory) и другим широко используемым программным обеспечением.

Какие требования 152-ФЗ?

Закон обязывает компании, работающие в России, хранить и обрабатывать персональные данные локально, настраивать бизнес-процессы и внутренние политики, а также применять технические решения для их защиты.

В зависимости от вида персональных данных законом установлены разные требования безопасности, которые подробно описаны в п. 8 Постановления Правительства России от 1 ноября 2012 г. № 1119.

Почему соблюдаются 152-ФЗ аудиты нужны?

Компании, обрабатывающие большие объемы персональных данных, сталкиваются с рисками, связанными с несанкционированным доступом, потерей данных и, как следствие, значительным репутационным ущербом.

 

Уязвимости в информационных системах и недостатки в бизнес-процессах и документации могут привести к претензиям со стороны властей и повлечь за собой штрафы.

 

Аудит предоставит четкую и независимую оценку соответствия 152-FL, поможет выявить проблемные области и предложит необходимые обновления. Документация, предоставленная по результатам проверки, и меры, принятые в соответствии с ней, обеспечат законность обработки персональных данных в компании.

Кто является государственным регулятором по делу 152-ФЗ?

Роскомнадзор, ФСБ и ФСТЭК. Роскомнадзору разрешено проводить проверки и принимать решения о санкциях.

Какая ответственность предусмотрена за нарушение 152-ФЗ?

Нарушения законодательства о персональных данных (152-ФЗ) влекут за собой все виды ответственности: гражданско-правовую, дисциплинарную, административную и уголовную.

В соответствии с ТК РФ лица, осуществляющие обработку персональных данных, несут ответственность за прямое возмещение убытков, причиненных ненадлежащим обращением с персональными данными.

Гражданский кодекс Российской Федерации позволяет гражданину требовать от организации возмещения морального или материального вреда, причиненного ненадлежащим обращением с персональными данными.

Административная ответственность в зависимости от совокупности нарушений включает штрафы в размере до 100 000 рублей на физических лиц, до 800 000 рублей на должностных лиц, до 20 000 рублей на индивидуальных предпринимателей, до 18 миллионов рублей на организации.

Уголовная ответственность за нарушение законодательства о персональных данных может быть квалифицирована по ряду статей, предусматривающих наказание вплоть до лишения свободы на срок до 4 лет.

Роскомнадзор вправе блокировать сайты нарушителей Закона о персональных данных.

Оператор персональных данных вправе поручить операции с персональными данными третьему лицу, именуемому процессором. Однако ответственность оператора ограничена: оператор определяет цели и порядок обработки персональных данных и несет ответственность перед государством и субъектами персональных данных.

Как разграничены зоны ответственности между оператором и обработчиком в контексте 152-ФЗ?

При обработке персональных данных в облаке по модели «инфраструктура как услуга» (IaaS) можно четко разграничить ответственность оператора и обработчика.

Процессор несет ответственность за соответствие аппаратного и программного обеспечения требованиям закона вплоть до уровня гипервизора.

Оператор несет ответственность за установленные виртуальные машины, операционные системы и приложения.

По умолчанию за информационную безопасность отвечает оператор, но он может поручить процессору предоставлять соответствующие услуги в рамках модели «Безопасность как услуга» (SECaaS). Такие услуги могут включать антивирусную защиту, брандмауэр, VPN и так далее.

Всего изменений в 152-ФЗ «О персональных данных»

С 1 сентября 2022 года вступают в силу изменения в 152-ФЗ «О персональных данных». Изменения внесены Федеральным законом № 266-ФЗ от 14 июля 2022 г. и являются крупнейшими с 2011 г. Можно сказать, что начиная с сентября требования к обработке персональных данных как работников, так и иных лиц будут значительно изменился. При этом данные изменения касаются практически всех лиц, работающих с персональными данными.

1. Самое главное уточнение — требование подавать уведомление в Роскомнадзор об обработке персональных данных с 1 сентября 2022 года. В старой редакции закона было очень много исключений, позволявших этого не делать.

Основными причинами работы без «регистрации» в РКН были обработка персональных данных сотрудников или в связи с заключением и исполнением договоров. Однако с сентября почти все исключения стали недействительными.

Актуальными остались только случаи неавтоматизированной обработки персональных данных (т.е. с непосредственным участием лица в использовании, уточнении, распространении, уничтожении персональных данных в отношении каждого из субъектов персональных данных).

Таким образом, ранее работавшая ссылка Пользовательское соглашение — Политика конфиденциальности, послужившая основанием для обработки ПДн в целях заключения и исполнения договора, с 01 сентября 2022 года становится неактуальной. Даже при наличии Пользовательского соглашения, оферты и другого договора, необходимо подать уведомление в РКН и подготовить локальные документы на защиту ПД (о них сообщается в уведомлении).

Следствием уведомления является включение в реестр операторов персональных данных и проведение плановых проверок РКН соблюдения организационно-технических требований к защите персональных данных.

2. Вторым по важности изменением следует считать уведомление РКН о трансграничной передаче персональных данных от 01 марта 2023 года.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *