Политика в отношении обработки персональных данных роскомнадзор: как составить документ — СКБ Контур

Политика обработки персональных данных

ПОЛИТИКА открытого акционерного общества «Российский Банк поддержки малого и среднего предпринимательства» в отношении персональных данных

ОАО «МСП Банк» (далее – Банк) в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, пользователей услуг Банка, представителей контрагентов и других субъектов персональных данных, и в соответствии с действующим законодательством Российской Федерации является оператором персональных данных с соответствующими правами и обязанностями.

С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Банк считает важнейшими задачами: обеспечение легитимности обработки персональных данных в бизнес-процессах Банка и обеспечение надлежащего уровня безопасности обрабатываемых в Банке персональных данных.

При организации и осуществлении обработки персональных данных Банк руководствуется требованиями Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (далее – законодательство РФ по вопросам обработки персональных данных).

Обработка персональных данных в Банке осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Банке персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных в Банке обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Банк принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных в Банке осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

Цели обработки персональных данных, состав и содержание персональных данных, а также категории субъектов персональных данных, чьи данные обрабатываются в Банке, содержатся в уведомлении Банка об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и подлежат обновлению в случае их изменения. При этом в Банке не обрабатываются специальные категории персональных данных и биометрические персональные данные.

Банк в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Банк не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

Банк в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются наивысшим приоритетом для Банка, решение которых реализуется в соответствии с законодательством РФ по вопросам обработки персональных данных.

Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных; а также иных предусмотренных законодательством случаях.

С целью обеспечения безопасности персональных данных при их обработке Банк принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Банк добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

В целях обеспечения адекватной защиты персональных данных Банк проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Банк применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Банка осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Банка.

В Банке назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый новый работник Банка, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами Банка по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Политика обработки ПДн

ПОЛОЖЕНИЕ

об обработке персональных данных в

ОГБУЗ «Братская детская городская больница»

ОПРЕДЕЛЕНИЯ

В настоящем документе используются следующие термины и их определения.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1. Общие положения

1.1. Настоящее Положение в отношении обработки персональных данных в (далее — Положение) ОГБУЗ «Братская детская городская больница» (далее – Оператор) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных, а также сведения о реализуемых мерах защиты персональных данных.

1.2. Настоящее положение распространяется на всех сотрудников оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов.

1.3. Настоящее положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым положением.

2. Правовые основания обработки персональных данных

2.1. Оператор обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:

— Конституцией Российской Федерации.

— Гражданским кодексом Российской Федерации.

— Трудовым кодексом Российской Федерации.

— Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

— Согласием субъекта на обработку персональных данных.

— Федеральным законом от 31 мая 1996 г. № 61-ФЗ «Об обороне».

— Федерального закона от 26 февраля 1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации».

— Иными нормативными и правовыми актами Российской Федерации.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.7. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работников (в том числе справочники, электронные базы). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год рождения, сведения о профессии и иные персональные данные, предоставленные работником.

3.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Цели обработки персональных данных

4. 1. Оператор обрабатывает персональные данные исключительно в следующих целях:

— исполнения требований Трудового кодекса Российской Федерации;

— исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

— исполнения требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;

-ведение кадрового учета;

-ведение личных дел;

-принятие решения о приеме либо отказе от приема на работу;

-оказание медицинских услуг;

-выполнение договорных обязательств;

— исполнения федеральных законов и иных нормативных правовых актов.

5. Условия и сроки прекращения обработки персональных данных

5.1. Оператор прекращает обработку персональных данных в следующих случаях:

— достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

— утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

— предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;

— невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

— отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;

— истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

6. Меры обеспечения безопасности персональных данных

6.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

6.2. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.3. Оператор предпринимает следующие организационно-технические меры:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

— ограничение и регламентация состава работников, имеющих доступ к персональным данным;

— ознакомление работников с требованиями федерального законодательства и локальных нормативных документов по обработке и защите персональных данных;

— обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

— разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

— проверка готовности и эффективности использования средств защиты информации;

— реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

— регистрация и учёт действий пользователей информационных систем персональных данных;

— парольная защита доступа пользователей к информационной системе персональных данных;

— применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на съемных машинных носителях информации;

— осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

— применение в необходимых случаях средств межсетевого экранирования;

— применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

— обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

— учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

— использование в необходимых случаях средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

— проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

— размещение технических средств обработки персональных данных, в пределах охраняемой территории;

— поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

7. Права субъектов персональных данных

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Оператором способы обработки персональных данных;

— наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

7.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Заключительные положения

8.1. Контроль исполнения требований настоящего Положения осуществляется ответственным за организацию обработки персональных данных.

8.2. Иные права и обязанности Оператора персональных данных, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.

8.3. Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Вложения

Файл	Описание	Размер файла:
doc11128920200122080008.pdf	Политика в отношении обработки персональных данных	884 kB
Политика ПДн.pdf	Политика информационной безопасности информационных систем персо­нальных данных учреждения здравоохранения ОГБУЗ «Братская ДГБ»	12490 kB

Политика обработки персональных данных

1. Главная →
2. Политика обработки персональных данных

Политика обработки персональных данных

УТВЕРЖДЕНО приказом ООО «Эффективные технологии» от 09. 01.2016 г.

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Эффективные технологии» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
• Федеральный закон от 06. 04.2011г. № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
• Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
• Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
• Устав ООО «Эффективные технологии».

2.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

• заключение трудовых отношений с физическими лицами;
• выполнение договорных обязательств Оператора;
• соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

• физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
• физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
• физические лица — кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
• утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
• невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• ликвидация (реорганизация) Оператора.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

• цели, условия, сроки обработки персональных данных;
• обязательства сторон, в том числе меры по обеспечению конфиденциальности;
• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

2.12. Оператор в установленном порядке проходит регистрацию в реестре уполномоченного органа по защите прав субъектов персональных данных. В реестре должны быть указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
• обеспечение физической безопасности помещений и средств обработки;
• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на обращения.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или  судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу [email protected]. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

 

Обработка персональных данных: что нужно знать в 2022 году

С 1 сентября 2022 года вступили в силу изменения в ФЗ №152 «О персональных данных» и ФЗ №2300-1 «О защите прав потребителей». В этой статье мы объясним, что это значит для бизнеса.

По данным Роскомнадзора, с начала 2022 года в сеть утекло не менее 40 баз данных, содержащих персональные данные россиян. Сорок баз данных общим объемом 300 млн записей принадлежали Ozon, СДЭК, Почте России и другим известным компаниям. Это значительные цифры, поэтому правительство приняло меры, которые должны повысить безопасность данных граждан.

Изменения в Закон № 152-ФЗ внесены Федеральным законом от 14.07.2022 № 266-ФЗ. В нем уточняется, что отдельные положения вступят в силу с 1 сентября 2022 года, но некоторые изменения вступят в силу не раньше 1 марта 2023 года. Отложенные поправки касаются трансграничной передачи данных и порядка предоставления сведений из ЕГРЮЛ. недвижимого имущества.

Ранее Закон № 519-ФЗ от 30.12.2020 определил три основных принципа согласия на обработку персональных данных:

• Молчание или бездействие не означает согласия на обработку персональных данных.
• Согласие на обработку и дальнейшее распространение персональных данных оформляется отдельно.
• Согласие на обработку и дальнейшее распространение персональных данных может включать запрет на передачу данных неограниченному кругу лиц – только конкретным лицам.

Нововведения ужесточают и детализируют требования к работе с персональными данными. Что именно меняется?

Контроль данных усиливается

О каждой утечке следует немедленно сообщать. В случае утечки данных оператор персональных данных обязан сообщить о случившемся в РКН не позднее, чем в течение 24 часов. Кроме того, оператор должен провести внутреннее расследование инцидента и сообщить о результатах в РКН в течение 72 часов.

Также усилены позиции Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКа). Организация расследует инциденты безопасности и выявляет уязвимости в информационных системах. Если организация подверглась кибератаке или любой из перечисленных, она должна передать информацию в ГосСОПКа.

Личная ответственность. До 1 сентября 2022 года иностранные обработчики данных несли ответственность только перед операторами персональных данных. Теперь процессор несет персональную ответственность перед каждым владельцем данных и обязан соблюдать конфиденциальность и не допускать утечек.

Дополнительная отчетность в Роскомнадзор. Перед обработкой любых персональных данных оператор должен заполнить специальную анкету и предоставить ее в Роскомнадзор, сообщив им о своих намерениях. Ранее эта процедура не была обязательной.

Расширение действия закона об иностранных гражданах. Закон распространял свое действие на иностранных физических и юридических лиц, если обработка персональных данных осуществляется на основании договора с гражданином России или с его согласия.

Больше прозрачности. Если веб-сайт собирает данные, он должен содержать Политику сбора данных и сделать ее доступной, чтобы ее мог прочитать любой желающий.

Спецификация согласия. Согласие на обработку персональных данных должно было быть конкретным, информированным и сознательным. С 1 сентября 2022 года он также должен быть конкретным и однозначным. Все пункты согласия должны быть однозначными. Согласие может быть отозвано в любое время.

Обработка данных становится быстрее

Согласно новым поправкам, оператор персональных данных должен быстрее реагировать на запросы граждан и Роскомнадзора.

Для граждан. В случае обращения субъекта персональных данных с заявлением о прекращении обработки его данных оператор обязан прекратить ее в течение 10 дней. Информация, касающаяся обработки персональных данных, также предоставляется в течение 10 дней после запроса.

Для Роскомнадзора. Оператор должен предоставить информацию, касающуюся обработки персональных данных, в Роскомнадзор в течение 10 рабочих дней (ранее было 30). Срок может быть продлен до 5 дней, если оператор направит в Роскомнадзор уведомление с обоснованием продления. Если ответы не устраивают Роскомнадзор несколько раз в течение года, вас могут подвергнуть внеплановой проверке.

Вот пример. По закону работодатель должен в течение 10 дней ответить или подготовить мотивированный отказ работнику, запросившему информацию о том, как компания обращается с его данными. Ответ оформляется в той форме, в которой он используется сотрудником (но в запросе может быть указана иная форма ответа). Оператора данных также могут спросить, есть ли у него конкретные персональные данные о заявителе.

Необязательные биометрические данные

С 1 сентября 2022 года официально запрещено отказывать в предоставлении услуги гражданам, не сдавшим биометрические данные (пока это не является обязательным условием для получения услуги). Например, россияне теперь имеют право отказаться от предоставления фото, если это не оговорено в правилах оказания услуги или не вытекает из положения.

Также прямо запрещена биометрическая обработка данных подростков. Например, если вы нанимаете на летнюю работу работников моложе 18 лет, рекомендуется удалить их фото, видео и голосовые записи. Запрещается использовать их фото на бейдже и личном деле.

Магазины будут ограничивать сбор персональных данных

Онлайн- и офлайн-магазины больше не могут собирать личные данные покупателей без их явного согласия. Полное имя, номер банковской карты и телефона, адрес электронной почты и адрес проживания необходимо указывать только в том случае, если это необходимо для совершения покупки. Закон предоставляет клиенту право требовать объяснений относительно необходимости определенных персональных данных.

Если ритейлер отказывается обслуживать покупателя, не предоставившего свои данные, он может подать жалобу. Штрафы для должностных лиц составляют от 5 000 ₽ до 10 000 ₽, а для юридических лиц — от 30 000 ₽ до 50 000 ₽.

Изменения в правилах защиты персональных данных

Теперь работодатель должен подготовить и принять положение о защите персональных данных. В этом документе указаны категории риска каждого документа/электронного носителя информации, а также риски компрометации информации с этих носителей. Раньше такой документ рекомендовали, а теперь он обязателен.

Что касается уничтожения персональных данных, то оно возможно только в отдельных случаях, перечисленных в пункте 3 статьи 21, статье 21 Федерального закона от 14.07.2022 № 266-ФЗ:

• Срок хранения документа истек.

• Цель обработки достигнута или их больше не нужно обрабатывать.

• Оператор обрабатывает персональные данные неправомерно.

• Собственник персональных данных отозвал согласие, потребовав прекратить обработку и распространение его Персональных данных.

В законе не указан способ уничтожения персональных данных.

Новые требования к трансграничной передаче персональных данных будут введены с 1 марта 2023 года. Если компания осуществляет передачу персональных данных за границу, важно направить уведомление в Роскомнадзор. Надзорный орган примет решение о запрете или разрешении передачи персональных данных иностранному лицу.

Cloud4Y предлагает готовое решение, построенное с учетом требований Федерального закона №152-ФЗ для размещения персональных данных. Аренда облачной инфраструктуры избавляет от необходимости строить и поддерживать инфраструктуру в соответствии с требованиями законодательства. Федеральный закон 152-ФЗ Облачный сервис разработан специально для международных компаний, которые стремиться хранить и/или защищать персональные данные после локализации данных в России и охранное законодательство.

облако fz 152

Российская Федерация: Новые поправки устанавливают правила сбора и распространения персональных данных

Прослушать эту страницу

(21.04.2021) 30 декабря 2020 г. Президент Российской Федерации Владимир Путин подписал Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Закон вступил в силу с 1 марта 2021 года.

Поправки предусматривают введение ограничений на основании согласия любой организации («лица») или физического лица, первоначально публикующих персональные данные, а также осуществляющих сбор и дальнейшее распространение в общедоступные персональные данные, которые были распространены на основе согласия, включая социальные сети, блоги или любые другие источники. Согласно новым поправкам, обнародование персональных данных и их использование после первоначальной публикации разрешено только в случае согласия субъекта данных на распространение. (Федеральный закон № 519-ФЗ ст.1, § 1, внося изменения в ст. 10.1 Закона о персональных данных.) Согласие должно быть «конкретным, утвердительным и отдельно полученным от субъекта данных, существование которого должно быть доказано на любом этапе использования и дальнейшего использования [данных]». (Ст. 1, § 1.) Физические лица имеют право воздержаться от распространения своей информации и разрешить только обработку своих персональных данных. (§ 4.) Молчание или бездействие субъекта данных не может рассматриваться как свидетельство согласия на обработку персональных данных для распространения. (§ 8.)

Форма и содержание согласия устанавливаются федеральным органом по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор должен создать специальную централизованную информационную систему учета полученного согласия. Каждый человек будет иметь возможность отказаться от распространения персональных данных в любое время. (Ст. 1(5), вносящий изменения в ст. 10.1, § 1; ст. 10.1, §§ 6, 7, 14.)

Среди требований к распространению персональных данных, установленных настоящим законом, следующие:

• Субъект данных имеет право выбирать, какой тип персональных данных может обрабатываться для распространения. (Статья 1(5).)
• В случае, если персональные данные были раскрыты их владельцем неопределенному кругу лиц до опубликования и без выражения согласия, либо раскрыты вследствие правонарушения, преступления или действия непреодолимой силы, лица, распространившие или иным образом обработавшие данные, обязаны доказать правомерность своих действий. (§§ 2, 3.)
• Операторы данных не могут игнорировать условия, ограничения или запреты на обработку и распространение данных, установленные субъектом данных. (§ 9.)
• Ограничения на передачу, обработку и распространение данных, установленные субъектом данных, не распространяются на случаи, когда обработка персональных данных осуществляется в интересах государства или общества, определенных законодательством Российской Федерации. (§ 11.)
• Оператор данных обязан опубликовать информацию об условиях обработки и наличии каких-либо ограничений в течение трех рабочих дней с момента получения согласия. (§ 10.)
• Оператор данных должен считать согласие субъекта данных на обработку и распространение его персональных данных прекращенным и должен прекратить передачу персональных данных (т. е. распространение, предоставление или доступ к данным) немедленно после получения данных отзыв согласия субъекта и его или ее запрос на прекращение передачи данных. (§ 12. )

В пояснительной записке, подготовленной разработчиками Закона № 519-ФЗ, указано, что целью законодательства является недопущение «сбора, а в последующем неконтролируемого использования персональных данных, размещенных на сайтах в сети Интернет, в целях, отличных от целей его первоначальное распространение третьими сторонами». В пресс-релизе Хьюман Райтс Вотч недавно принятые поправки были оценены как «часть более широких усилий по регулированию информации, распространяемой в Интернете, и ее доступности для общественности в Российской Федерации».

Об этом изделии

Заголовок

• Российская Федерация: Новые поправки устанавливают правила сбора и распространения персональных данных

Онлайн формат

• веб-страница

Права и доступ

Публикации Библиотеки Конгресса являются работами правительства Соединенных Штатов, как это определено в Кодексе США 17 U. S.C. §105 и, следовательно, не защищены авторским правом и могут свободно использоваться и повторно использоваться. Библиотека Конгресса не возражает против международного использования и повторного использования работ Библиотеки правительства США на loc.gov. Эти работы также доступны для использования во всем мире и повторного использования в рамках CC0 1.0 Universal.

Подробнее об авторских правах и других ограничениях.

Для получения рекомендаций по составлению полных ссылок обратитесь к Citing Primary Sources.

Кредитная линия: Юридическая библиотека Конгресса

Процитировать этот товар

Цитаты генерируются автоматически из библиографических данных, как для удобства и может быть неполным или точным.

Чикагский стиль цитирования:

Российская Федерация: Новые поправки устанавливают правила сбора и распространения персональных данных . 2021. Веб-страница. https://www.loc.gov/item/global-legal-monitor/2021-04-21/russian-federation-new-amendments-install-rules-for-collecting-and-disseminating-personal-data/.

Стиль цитирования APA:

(2021) Российская Федерация: Новые поправки устанавливают правила сбора и распространения персональных данных . [Веб-страница] Получено из Библиотеки Конгресса, https://www.loc.gov/item/global-legal-monitor/2021-04-21/russian-federation-new-amendments-install-rules-for-collecting. -и-распространение-личных-данных/.

Стиль цитирования MLA:

Российская Федерация: Новые поправки устанавливают правила сбора и распространения персональных данных . 2021. Веб-страница. Получено из Библиотеки Конгресса, .

Недавно принятый закон о конфиденциальности данных в России

Недавно принятый закон о конфиденциальности данных в России

01 октября 2021 г. | 6 минут чтения

Российский закон о персональных данных — это закон о конфиденциальности данных, в который недавно были внесены поправки в марте 2021 года. В Закон о персональных данных были внесены поправки, предоставляющие гражданам России расширенные права на защиту данных. Чтобы проиллюстрировать этот момент, предыдущий Закон о персональных данных не требовал, чтобы операторы данных (т.е. контролеры данных) получали согласие от субъектов данных до сбора их информации, разрешая «данные были доступны неограниченному числу лиц (т. опубликованы) соответствующим субъектом данных или по указанию субъекта данных». По сути, это означало, что после публикации персональных данных субъекта данных эти данные могли быть переданы другим сторонам без согласия субъекта данных. Таким образом, поправка к Закону о персональных данных в 2021 году была направлена ​​на модернизацию и улучшение закона.

Каков объем и применимость Закона о персональных данных в России?

В соответствии с Законом о персональных данных любая организация, юридическое лицо или физическое лицо, которые первоначально публикуют персональные данные, а также те, кто собирает и в дальнейшем распространяет персональные данные в публичной сфере или делится персональными данными, которые были распространены на основе согласие, включая социальные сети, блоги или любые другие источники, должны всегда соответствовать закону о персональных данных. Более того, согласно новым поправкам, обнародование персональных данных и их использование после первоначальной публикации разрешено только в том случае, если соответствующий субъект данных дает согласие на дальнейшее распространение своих персональных данных.

Кроме того, законом также введена новая категория персональных данных — «персональные данные, сделанные общедоступными». В соответствии с Законом о персональных данных общедоступные персональные данные определяются как персональные данные, к которым может иметь доступ неограниченное количество лиц на основании конкретного согласия субъекта данных на распространение данных («согласие на распространение»). Благодаря этому расширенному определению и расширению сферы применения и применения закона проблемы, связанные с согласием, которые преследовали предыдущую версию Закона о персональных данных, были эффективно устранены.

Каковы требования к операторам данных в соответствии с Законом о персональных данных?

В соответствии с российским Законом о персональных данных операторы данных должны соблюдать ряд обязательств в отношении персональных данных, которые они собирают, получают доступ и в конечном итоге распространяют от имени субъектов данных. Некоторые из этих различных обязательств включают:

• Операторам данных запрещается распространять общедоступные персональные данные, касающиеся субъектов данных, без согласия указанного субъекта данных.
• Операторы данных обязаны публиковать информацию, касающуюся применимых условий и ограничений обработки, через платформу, доступную как онлайн, так и офлайн-читателям, в течение 3 дней после получения согласия на распространение от субъектов данных.
• Операторы данных должны соблюдать требования, связанные со стандартными формами согласия на распространение, которые должны быть предоставлены субъектам данных. В соответствии с законом в формах согласия должны быть указаны полное имя и контактные данные субъекта данных, полное имя и адрес, регистрационный номер и ИНН оператора данных, сведения о веб-сайте, на котором размещены персональные данные указанных данных. будут распространяться или обрабатываться иным образом, предполагаемые цели обработки данных, категории персональных данных, подлежащих обработке, категории персональных данных, в отношении которых субъект данных может устанавливать определенные ограничения, а также перечень таких ограничения и условия передачи персональных данных через сайт операторов данных, корпоративную сеть или иной запрет на передачу персональных данных, а также условия согласия.
• Операторы данных должны назначить сотрудника по защите данных или DPO для целей защиты и защиты персональных данных субъектов данных.
• Операторы данных несут ответственность за реализацию политики защиты данных. Эта политика защиты данных должна быть размещена на веб-сайте оператора данных, и все сотрудники указанных операторов данных также несут ответственность за ознакомление с этой политикой защиты данных, а также за письменное подтверждение того, что они прочитали и поняли политику.
• Операторы данных обязаны уведомлять обоих затронутых субъектов данных, а также Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, также известную как Роскомнадзор, в случае нарушения безопасности данных или безопасности.
• Операторы данных несут ответственность за соблюдение ограничений, связанных с передачей данных в третьи страны, путем обеспечения того, чтобы иностранные юрисдикции, в которые передаются персональные данные граждан Российской Федерации, обеспечивали адекватную защиту прав субъектов данных.

Каковы права субъектов данных в соответствии с Законом о персональных данных?

Поскольку предыдущая редакция российского Закона о персональных данных предоставляла субъектам данных несколько двусмысленный уровень защиты их прав на конфиденциальность данных, основной причиной недавней поправки к закону было обеспечение усиленной защиты конфиденциальности субъектов данных. Таким образом, некоторые из прав, предоставляемых субъектам данных в соответствии с измененным Законом о персональных данных, включают:

• Право на доступ к информации — Субъекты данных имеют право на доступ к любой личной информации, которую оператор данных имеет в отношении них, путем подачи письменного запроса «информация о доступе субъекта» указанному оператору данных.
• Право на забвение — при определенных обстоятельствах субъекты данных имеют право потребовать, чтобы оператор данных удалил, заблокировал или исправил их личные данные. Кроме того, субъекты данных также сохраняют за собой право возражать против решений, которые принимаются в отношении их персональных данных исключительно на основе автоматической обработки.
• Право возражать против прямого маркетинга и профилирования. Субъекты данных имеют право возражать против обработки своих личных данных в целях прямого маркетинга или профилирования, если субъекты данных не дают согласия на указанную обработку.
• Право возражать против обработки данных – Субъекты данных имеют право возражать
• Право на ограничение – Субъекты данных сохраняют за собой право устанавливать определенные ограничения или условия, связанные с обработкой своих персональных данных, которые становятся общедоступными, по своему усмотрению.
• Право на возмещение вреда – Субъекты данных имеют право на возмещение, если доказано, что их права были нарушены в соответствии с законом.
• Право отозвать согласие — Субъекты данных имеют право отозвать свое согласие на обработку своих персональных данных в любое время в ходе процесса.

Что касается наказаний, которые могут быть наложены на контролеров данных, которые нарушают права субъектов данных, измененный Закон о персональных данных содержит различные санкции и наказания, которым подлежат контролеры данных, которые не соблюдают требования. Эти наказания включают денежные штрафы в размере от 6 миллионов рублей (82 483 доллара США) до 18 миллионов рублей (247 320 долларов США) для контролеров данных, которые уличены в нарушении закона, а также штрафы в размере от 100 000 рублей (1 374 доллара США) до 200 000 рублей (2748 долларов США). ) для сотрудников по защите данных, которые не соблюдают требования закона в отношении утечки данных. Кроме того, «Роскомнадзор имеет право обратиться в суд с иском о блокировке доступа к веб-сайту, через который соответствующее лицо обрабатывает персональные данные в нарушение российского законодательства о защите данных.

Поскольку Россия является одной из крупнейших стран мира и находится на пересечении континентов Европы и Азии, поправки в Закон о персональных данных страны были крайне необходимы.