Co to jest ustawa federalna 152. Co nowego w prawie o ochronie danych osobowych

Aleksiej Kondratow
Współzałożyciel i kierownik działu prawnego serwisu internetowego, specjalista z zakresu ochrony danych osobowych, wsparcia prawnego startupów oraz ochrony sądowej przedsiębiorstw.

Edukacja: Wydział Prawa Pomorskiej Akademii Państwowej. Wcześniej pracował jako dyrektor generalny w Iski Online.

1 lipca 2017 r. Weszły w życie zmiany w rosyjskim Kodeksie wykroczeń administracyjnych. Zwiększono wysokość kar za naruszenia przewidziane w ustawie nr 152-FZ „O ochronie danych osobowych”, a niektóre jej sformułowania uległy zmianie. Nowe zasady spowodowały, że wielu właścicieli serwisów internetowych zaczęło martwić się o to, czy ich zasoby są zgodne z prawem. Spróbujmy to rozgryźć.

Zacznijmy od kilku informacji ogólnych. 152-FZ to pierwsza nowoczesna ustawa o danych osobowych w Rosji. Zaczęto go opracowywać w 2000 r. i wszedł w życie 27 lipca 2006 r. Głównym przepisem prawa była obowiązkowa zgoda osoby na przetwarzanie informacji o niej w jakimkolwiek celu. W trakcie prac nad 152-FZ wprowadzono dwa nowe terminy, których prawo używa do dziś – podmiot danych osobowych i podmiot danych osobowych. Łatwo się domyślić, że chodzi o osobę, której tożsamość można ustalić na podstawie określonych informacji. Operatorem może być osoba fizyczna lub prawna, która ma dostęp do danych osobowych podmiotu. Ta ostatnia definicja jest dla nas niezwykle ważna, dlatego przyjrzyjmy się jej bardziej szczegółowo.

Kto zgodnie z ustawą 152-FZ jest uważany za operatora danych osobowych?

Władze państwowe i miejskie, sądy, instytucje oświatowe i medyczne, pracodawcy, wszelkie firmy i organizacje świadczące usługi osobiste: banki, kancelarie prawne, operatorzy komórkowi, firmy budowlane, zasoby Internetu - wszyscy oni są operatorami danych osobowych, ponieważ mają dostęp do danych osobowych dane osobowe w różnym stopniu.

Jakie dane osobowe użytkowników mogą znajdować się na Twojej stronie?

Najczęściej przez dane osobowe (PD) rozumie się:

• nazwisko,
• wiek,
• miejsce urodzenia,
• zdjęcie,
• adres zamieszkania,
• numer telefonu.

Dane osobowe obejmują także informacje:

• o stanie cywilnym,
• poglądy religijne, filozoficzne i polityczne,
• życie intymne,
• stan zdrowia.

Zanonimizowane dane osobowe i informacje zbierane automatycznie:

• e-mail,
• adres IP,
• geolokalizacja,
• ciastka.

Jakie formy zbierania danych osobowych występują w serwisie?

• Formularz rejestracyjny.
• Formularz zamówienia.
• Formularz opinii.
• Przycisk „Poproś o oddzwonienie”.
• Formularz zapisu na biuletyn e-mailowy.

Wysokość kar finansowych po zmianach od 1 lipca 2017 r

W przypadku popełnienia przestępstwa do grzywny doliczane są dodatkowe kary, w tym zablokowanie zasobu i aresztowanie sprawcy.

Jak to działa?

Aby wykryć naruszenia, Roskomnadzor przeprowadza zaplanowane, nieplanowane (na żądanie obywateli) i dokumentacyjne (z prośbą o dokumenty) inspekcje obiektów. Na przykład podczas kontroli w 2016 r. Spółka prawnicza miasta Tambow została ukarana grzywną za opublikowanie formularza opinii bez dokumentów towarzyszących, a zimą 2017 r. kilka stron internetowych w Astrachaniu zostało ukaranych grzywną za podobne naruszenia.

Jak uniknąć kar i blokowania stron internetowych: 5 kroków

1. Przenieś bazy danych na serwery rosyjskie. Jest to wymóg ustawy N149-FZ „O informacjach, technologiach informacyjnych i ochronie informacji”. Naruszenie prawa może skutkować zablokowaniem zasobu – np. biznesowy portal społecznościowy LinkedIn zaprzestał swojej działalności w Rosji.
2. Przygotuj dwa dokumenty – „Politykę przetwarzania danych osobowych” i „Umowę użytkownika”. Należy pamiętać, że oferta publiczna zastępuje dokument polityki prywatności. Niezwykle ważne jest, aby dokumenty nie zawierały błędów merytorycznych i prawnych. Tę pracę najlepiej powierzyć profesjonalnemu prawnikowi. Artykuł 9 ustawy stanowi, że dokument wirtualny jest równoważny dokumentowi papierowemu, zatem nie są wymagane żadne dokumenty fizyczne.
3. Połącz formularz ze zgodą na przetwarzanie danych osobowych i obowiązkowym checkboxem do wszystkich pól dotyczących gromadzenia danych osobowych w serwisie.
4. Upewnij się, że strona z „Polityką przetwarzania danych osobowych” jest dostępna do wglądu dla każdego użytkownika serwisu.
5. Wyślij powiadomienie papierowe i elektroniczne do Roskomnadzor w określonej formie - można je znaleźć na stronie internetowej Roskomnadzor. Zgodnie z art. 22 ustawy ustęp ten jest obowiązkowy.

Jeśli wątpisz w swoje kompetencje prawne lub po prostu nie chcesz spędzać dużo czasu na formalnościach, istnieje prostsze i bardziej praktyczne rozwiązanie problemu - serwis. To proste, tanie i szybkie rozwiązanie dla Twojej witryny i firmy.

Wśród naszych ofert z pewnością będziesz mógł wybrać taką, która będzie Ci odpowiadać. Jeśli nie chcesz zwlekać z rozwiązaniem problemu, możesz to zrobić teraz. Wszelkie pytania prawne można zadać, dzwoniąc do naszego zespołu wsparcia 8 800 100 43 45 lub poniżej w formularzu komentarza.

W tym artykule postaramy się jasno i przystępnie (cóż, jeśli to możliwe) wyjaśnić, jak zwykła firma internetowa może żyć w erze ustawy federalnej nr 152 „O danych osobowych”. Powiemy Ci dokładniej, jak się przed tym uchronić.

Warto więc najpierw pamiętać, że to imię i nazwisko, numer telefonu, adres e-mail, adres i inne dane charakteryzujące konkretną osobę osobisty. A otrzymanie ich, nawet w wyniku rozmowy telefonicznej, jest ich własnością przetwarzanie. Zatem działalność absolutnie każdej komercyjnej witryny internetowej podlega nowemu wspaniałemu prawu. Hurra, towarzysze.

Czego się bać?

Od 1 lipca 2017 r. W art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej pojawiły się nowe naruszenia przepisów w zakresie danych osobowych (było 1, obecnie 7).
Wysokość kar wzrosła z 10 000 rubli do 290 000 rubli. Maksymalna kwota grzywny grozi tym, którzy absolutnie naruszyli wszystkie wymogi określone w ust. 1–6 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Jest to dość trudne, ale o tym poniżej.

Kto zostanie ukarany grzywną?

Operatorzy, czyli ci, którzy przetwarzają i zbierają dane osobowe, zostaną ukarani karami finansowymi. Prosta prośba o podanie nazwiska i numeru telefonu (lub adresu e-mail) jest już przetwarzana.
Aby potwierdzić, że przetwarzasz dane osobowe, Roskomnadzor będzie musiał jedynie zobaczyć formularz opinii na Twojej stronie internetowej, subskrypcję biuletynu lub możliwość zarejestrowania się na swoim koncie osobistym. W takich przypadkach podlegasz prawu i możesz podlegać kontroli prywatności.
Właśnie dlatego stworzyliśmy Defender na podstawie ustawy federalnej nr 152.

Jesteśmy klientami Callibri.ru, jak być legalnym?

Obrońca przed ustawą federalną 152 - system generowania dokumentów, aby zarówno Twoja, jak i nasza firma działały w pełnej zgodności z wymogami ustawy federalnej N 152.

Oto, co musisz zrobić:

Oto jak to wygląda:

Ważny!

To wszystko? Teraz nie będę trzymać się 290 TR?

Nie bardzo. Defender działa tylko wtedy, gdy:

• sposoby zbierania danych nie różnią się od wybranych przez Ciebie w ustawieniach;
• cele zbierania danych nie różnią się od tych, które wybrałeś w ustawieniach;
• nie korzystasz z usług innych niż Callibri.ru do gromadzenia i przetwarzania.

We wszystkich innych przypadkach możesz mieć problemy. O nich poniżej.

Korzystam z innych usług zbierających dane osobowe. Jak być legalnym?

Usuń wszystko do cholery. Nie możemy ponosić odpowiedzialności za zgodność innych usług z wymogami ustawy federalnej nr 152 „O danych osobowych”. Dobrze, że w naszym portfolio jest wszystko, czego potrzebujesz: śledzenie połączeń, oddzwanianie, rozmowy online, aplikacja i konsultant online.
Połącz Callibri

Ale jeśli naprawdę chcesz skorzystać z innych usług i/lub swoich celów i/lub metod przetwarzania danych osobowych różnić się z tych zaproponowanych przez Callibri.ru, wówczas będziesz musiał pozyskać konsultantów zewnętrznych, aby opracowali Twoje dokumenty dotyczące przetwarzania danych osobowych, wdrożyli je i czekali na kontrolę Roskomnadzor i kary na podstawie jej wyników. A to aż 290 tr.

Przed czym dokładnie uratuje Obrońca?

Po pierwsze, Twoja witryna internetowa będzie spełniać wszystkie wymogi prawne (klauzula 2 część 2, artykuł 5, część 1, część 2, artykuł 18.1 ustawy federalnej nr 152 „O danych osobowych”). Zmniejsza to znacząco ryzyko wszczęcia audytu i zwiększa Twoją wiarygodność w oczach klientów. Po drugie, Roskomnadzor nie będzie miał powodu:

• Kara do 30 000 rubli. za niezapewnienie nieograniczonego dostępu do Polityki (część 3 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).
  Na przykład: Kara za brak Polityki na stronie internetowej.
• Kara do 50 000 rubli. za przetwarzanie danych osobowych niezgodne z celami ich gromadzenia.
  Na przykład: dostarczasz towary i prosisz o skan paszportu, podczas gdy do dostawy potrzebujesz jedynie swojego pełnego imienia i nazwiska oraz adresu.

Czy powiadomisz o nas Roskomnadzor w naszym imieniu?

Nie, nie powiadomimy Cię. To nie jest konieczne. Niech Bóg błogosławi. Na razie.

Dlaczego nie trzeba powiadamiać Roskomnadzoru?

Zgodnie z częścią 2 art. 22 ustawy federalnej nr 152, w niektórych przypadkach operator ma prawo przetwarzać dane osobowe bez powiadamiania Roskomnadzor. Nie wymienimy ich wszystkich, ale najważniejsze z nich to:
Otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i wykorzystywane są wyłącznie przez Operatora w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;
Te. jeśli dane osobowe, które gromadzisz i przetwarzasz

• nie są udostępniane podmiotom trzecim bez zgody podmiotu danych osobowych;
• wykorzystywane są wyłącznie w celu wykonania umowy w związku z zawarciem której zostały otrzymane oraz zawarcia umowy z podmiotem danych osobowych;

Powiadamianie Roskomnadzoru nie jest konieczne!

A wielu twierdzi, że jest to konieczne...

Prawo budzi kontrowersje, pojawia się wiele opinii, interpretacji i spekulacji pozbawionych skrupułów prawników na ten temat. Ale nie ma jeszcze praktyki sądowej. Pamiętaj więc: globalnie masz 3 opcje

1. Bądź całkowicie nielegalny. Nie mamy tu o czym rozmawiać. Ryzyko jest znacznie wyższe niż opisano w tym artykule;
2. Pracuj legalnie, dzięki dokumentom od Callibri. Ale nie powiadamiaj Roskomnadzoru;
3. Pracuj legalnie i powiadom Roskomnadzor oraz figuruj w rejestrze operatorów danych osobowych.

Polecamy opcję 2, ponieważ... w tym przypadku Twój czas i wysiłek wyniosą 30 minut (aby przeczytać ten artykuł, wypełnij formularz i podpisz zamówienie). A maksymalna kara, jeśli Roskomnadzorowi coś się nie podoba (to znaczy z powodu braku powiadomienia), wyniesie 5 tysięcy rubli (dla osób prawnych).
W trzeciej opcji będziesz potrzebować więcej wysiłku i pieniędzy, a prawdopodobieństwo zaplanowanej kontroli znacznie wzrośnie.
Dlatego wierzymy, że dla większości przedsiębiorstw ochrona naszego projektanta na mocy ustawy federalnej N 152 będzie wystarczająca.

Czy musimy ostrzegać wszystkich odwiedzających o przetwarzaniu plików cookie?

Tutaj jak zawsze dwóch prawników - trzy opinie. Nasi prawnicy uważają, że informacje zawarte w plikach cookies same w sobie nie stanowią danych osobowych w oderwaniu od innych informacji o użytkowniku. Krążą pogłoski, że Roskomnadzor jeszcze na to nie zwraca uwagi. Jeśli jednak chcesz być całkowicie ubezpieczony, poproś twórców swojej witryny o dodanie wyskakującego okienka z tekstem podobnym do tego: „Wyrażam zgodę na przetwarzanie plików cookie” (z przyciskiem „OK”).

Webvisor widzi dane osobowe. Co robić?

Bez obaw! Zgodnie z zaleceniami Yandex zabezpieczyliśmy specjalną klasą wszystkie pola, w których mogą być wskazane dane osobowe. Dzięki tej funkcji przeglądarka internetowa nie zobaczy danych osobowych użytkowników, które wprowadzają do formularzy w serwisie.

Słownik

Postanowiliśmy również wskazać wszystkie terminy, abyś nie miał już żadnych pytań.
Dane osobowe- wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (przedmiotu danych osobowych), w tym: jej nazwisko, imię, patronimika, rok, miesiąc, data i miejsce urodzenia, adres, e-mail, numer telefonu, inne informacje identyfikacyjne (patrz ustawa federalna nr 152, art. 3, 10, 11).

Na chwilę obecną lista danych osobowych nie jest zamknięta; jeżeli masz wątpliwości, czy dane są osobowe, skontaktuj się z prawnikiem w celu uzyskania wyjaśnień.

Przetwarzanie danych osobowych to jakiekolwiek działanie lub zestaw działań, w tym gromadzenie, utrwalanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie, wydobywanie, wykorzystywanie, przekazywanie (dystrybucja, zapewnianie dostępu), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.
Operator- osoba prawna lub osoba fizyczna, która samodzielnie lub wspólnie z innymi osobami organizuje i (lub) przetwarza dane osobowe, a także ustala cele przetwarzania danych osobowych, skład przetwarzanych danych osobowych, działania ( operacji) dokonywanych na danych osobowych.
Rozpowszechnianie danych osobowych- działania mające na celu udostępnienie danych osobowych nieokreślonej liczbie osób.
Zniszczenie danych osobowych- działania, w wyniku których przywrócenie zawartości danych osobowych w systemie informacji o danych osobowych staje się niemożliwe i (lub) w wyniku których materialne nośniki danych osobowych ulegają zniszczeniu.

Od 1 lipca 2017 r. Wprowadzono podwyższone kary administracyjne za nieprzestrzeganie wymogów ustawy federalnej „O danych osobowych” z dnia 27 lipca 2006 r. Nr 152-FZ. Ekspert podatkowy opowiedział BUKH.1S, jak uniknąć kar finansowych podczas kontroli Roskomnadzoru Igor Karmazin.

Kary za nieprzestrzeganie wymogów ustawy federalnej „O danych osobowych” zostały podwyższone zgodnie z ustawą federalną nr 13-FZ z dnia 07.02.2017 r. Nowe kary w porównaniu do istniejących wzrosły wykładniczo. Maksymalna kara dla organizacji została zwiększona do 75 tysięcy rubli, maksymalna kara dla przedsiębiorców została zwiększona do 20 tysięcy rubli. Jednocześnie, jeśli wcześniej w Kodeksie wykroczeń administracyjnych istniał tylko jeden corpus delicti, wspólny dla wszystkich przypadków, w zakresie danych osobowych (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej), obecnie aż w artykule tym pojawiło się siedem corpus delicti.

Do uniknąć kar poniżej 152-FZ, spółki i indywidualni przedsiębiorcy powinni ostrożniej podchodzić do przestrzegania wymogów ustawy o danych osobowych z dnia 1 lipca 2017 r.

Ściągawka do artykułu od redakcji BUKH.1S dla tych, którzy nie mają czasu

1. Od 1 lipca 2017 r. wprowadzane są podwyższone kary administracyjne za nieprzestrzeganie wymogów ustawy federalnej „O danych osobowych”.

2. Nowe kary znacznie wzrosły w porównaniu do istniejących. Maksymalna kara dla organizacji została zwiększona do 75 tysięcy rubli, maksymalna kara dla przedsiębiorców została zwiększona do 20 tysięcy rubli.

3. Kary za nielegalne przetwarzanie danych osobowych obywateli dotyczą wszystkich firm i przedsiębiorców, którzy otrzymują dane paszportowe Rosjan. Ustawa nie zawiera szczegółowej listy takich organizacji.

4. Firmy prawnie sklasyfikowane jako operatorzy danych osobowych muszą być zarejestrowane w Roskomnadzor.

5. Przed karami możesz uchronić się stosując 6 zasad:

• wykluczyć przypadki niewłaściwego gromadzenia i przetwarzania danych;
• uzyskać pisemną zgodę obywateli na przetwarzanie ich danych;
• zaznajomić obywateli z polityką przetwarzania danych osobowych;
• odpowiadać na pytania obywateli dotyczące sposobu wykorzystywania ich danych osobowych;
• spełniać żądania obywateli dotyczące wyjaśnienia danych osobowych, zablokowania ich lub zniszczenia;
• zapewnić bezpieczeństwo nośników danych osobowych, wykluczając ich wyciek, uszkodzenie, kradzież, kopiowanie itp.

6. Od dnia 07.01.2017 wchodzi w życie uproszczona procedura pociągnięcia do odpowiedzialności administracyjnej. Sprawy będzie wszczynał sam Roskomnadzor, bez udziału prokuratorów.

Kogo dotkną nowe kary?

Kary za nielegalne przetwarzanie danych osobowych obywateli dotyczą wszystkich firm i przedsiębiorców, którzy otrzymają dane paszportowe Rosjan. Zgodnie z prawem są oni zaliczani do operatorów danych osobowych i zobowiązani są do przestrzegania ograniczeń prawnych.

Ustawa nie zawiera szczegółowej listy takich organizacji. Należą do nich jednak banki, firmy ubezpieczeniowe, operatorzy komórkowi i Internetu, organizacje medyczne, firmy transportowe, instytucje edukacyjne i wszystkie te firmy, które kontaktując się z obywatelami proszone są o podanie danych osobowych lub wypełnienie formularza.

Ale to nie wszystko. Ustawa dotyczy pracodawców otrzymujących informacje od pracowników zarówno na podstawie umowy o pracę, jak i umowy cywilnej. Operatorami danych osobowych są także pracodawcy, z małym zastrzeżeniem. Jeżeli pracodawca pozostaje w stosunku pracy lub stosunku cywilnoprawnego z obywatelem, nie jest on zobowiązany do powiadamiania Roskomnadzor o przetwarzaniu danych osobowych (część 2 art. 22 ustawy federalnej nr 152-FZ).

Do operatorów danych osobowych zaliczają się także firmy posiadające własne strony internetowe z formularzem opinii i rejestracją użytkowników, od których wymagane jest podanie danych osobowych.

Jak uchronić się przed karami: 6 zasad

1. Wyeliminować przypadki niewłaściwego gromadzenia i przetwarzania danych.

Naruszenie to obejmuje także przypadki gromadzenia nadmiernych informacji o obywatelach. Na przykład, gdy witryna zawierająca biuletyn e-mailowy wymaga od odwiedzających podania, powiedzmy, danych paszportowych. Jest to uważane za niewłaściwe przetwarzanie danych, dlatego wyklucz takie przypadki z praktyki Twojej firmy i serwisu.

Działania te stanowią przestępstwo z części 1 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Kara dla przedsiębiorców wynosi od 5 do 10 tysięcy rubli, a dla organizacji – od 30 do 50 tysięcy rubli.

2. Uzyskaj pisemną zgodę obywateli na przetwarzanie ich danych.

Operatorzy uzyskują zgodę obywateli na przetwarzanie danych osobowych, jeśli wymagają tego przepisy prawa, zgodnie z częścią 4 art. 9 ustawy federalnej nr 152-FZ. Nie ma wielu wyjątków od tej reguły. Na przykład pisemna zgoda nie jest wymagana w przypadku pozyskiwania danych osobowych do celów osobistych i rodzinnych (część 2 art. 1 ustawy federalnej nr 152-FZ).

W większości przypadków oprócz umowy głównej strony muszą podpisać umowę o przetwarzaniu danych osobowych. Umowa ta może zostać zawarta w tekście umowy głównej lub stanowić odrębny dokument. Zgoda musi pochodzić osobiście od obywatela. Dane nie mogą być przekazywane bez jego wiedzy.

Najczęstszym przykładem nadużyć w tym obszarze jest sytuacja, gdy na przykład operator komórkowy przekazuje kontakty abonentów bez ich wiedzy firmom zewnętrznym, a na numery telefonów obywateli zaczynają docierać wszelkiego rodzaju spam.

Jeżeli firma nie ma pisemnej umowy na przetwarzanie danych, na obywateli (IP), na urzędników zostanie nałożona kara w wysokości od 3 do 5 tysięcy rubli, a na osoby prawne - od 15 do 20 tysięcy rubli. 75 tysięcy rubli (Część 2, art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Sądząc po praktyce sądowej, indywidualni przedsiębiorcy są karani grzywną po raz pierwszy jako osoby fizyczne, a jeśli naruszenie się powtórzy, to jako urzędnicy - kierownicy indywidualnego przedsiębiorcy, ponieważ w drugim przypadku kara jest wyższa.

Konsekwencje nieotrzymania pisemnej zgody wobec administratorów będą nieistotne, ale istotny będzie fakt istnienia lub braku takiej zgody na piśmie.

3. Poinformuj obywateli o polityce przetwarzania danych osobowych.

Informacje te powinny być ogólnodostępne i każdy powinien móc się z nimi zapoznać. Na przykład witryny publikują informacje o procedurze pracy z danymi osobowymi na swoich poszczególnych stronach.

W przeciwnym razie powstanie odpowiedzialność zgodnie z częścią 3 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Indywidualni przedsiębiorcy zapłacą karę w wysokości od 5 do 10 tysięcy rubli, a organizacje w wysokości od 15 do 30 tysięcy rubli.

4. Odpowiadaj na pytania obywateli dotyczące sposobu wykorzystywania ich danych osobowych.

W praktyce zdarzają się przypadki, gdy dane „wyciekają” do osób trzecich, a klienci firmy zaczynają otrzymywać wszelkiego rodzaju reklamy ze sklepów, ośrodków medycznych i instytucji kredytowych. W takim przypadku Klient może żądać od operatora danych osobowych udzielenia informacji o tym, w jaki sposób wykorzystywane i przechowywane są jego dane osobowe.

Za ignorowanie żądań obywateli operatorzy danych osobowych ponoszą odpowiedzialność zgodnie z częścią 4 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Kara dla przedsiębiorców indywidualnych wynosi od 10 do 15 tysięcy rubli, a dla osób prawnych – od 20 do 40 tysięcy rubli.

5. Spełniaj żądania obywateli dotyczące wyjaśnienia danych osobowych, ich zablokowania lub zniszczenia.

Należy tego dokonać w przypadku, gdy dane osobowe są niekompletne, nieaktualne, niedokładne, pozyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania.

Niedopełnienie tego obowiązku może skutkować karą grzywny zgodnie z częścią 5 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Dla indywidualnych przedsiębiorców kara wyniesie od 10 do 20 tysięcy rubli, dla organizacji - od 25 do 45 tysięcy rubli.

6. Zapewnij bezpieczeństwo nośników danych osobowych, wykluczając ich wyciek, uszkodzenie, kradzież, kopiowanie itp.

Odpowiedzialność za niezapewnienie bezpieczeństwa danych osobowych określa część 6 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Dla przedsiębiorców - od 10 do 20 tysięcy rubli, dla firm - od 25 do 50 tysięcy rubli.

Odpowiedzialność za władze państwowe i miejskie

Odpowiedzialność karna przewidziana jest również dla władz państwowych i gminnych (część 7, art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

W swoich dokumentach (protokołach, sprawozdaniach, decyzjach itp.) muszą anonimizować dane osobowe obywateli, uniemożliwiając wskazanie ich miejsca zamieszkania i pełnego imienia i nazwiska.

W przeciwnym razie będziesz musiał zapłacić grzywnę w wysokości od 3 do 6 tysięcy rubli.

Rejestracja operatorów danych osobowych w Roskomnadzor

Firmy prawnie sklasyfikowane jako operatorzy danych osobowych muszą być zarejestrowane w Roskomnadzor. W tym celu należy złożyć zawiadomienie o przetwarzaniu(o zamiarze przetwarzania) dane osobowe (część 3 art. 22 ustawy federalnej nr 152-FZ).

Po wypełnieniu formularza zgłoszenia przetwarzania (zamiaru przetwarzania) danych osobowych należy je przesłać do systemu informatycznego Uprawnionego Organu ds. Ochrony Praw Podmiotów Danych Osobowych. Następnie wypełniony formularz należy wydrukować i odpowiednio poświadczyć, podpisać i opieczętować przez organizację, a następnie przesłać do odpowiedniego organu terytorialnego Roskomnadzor w miejscu rejestracji firmy operatora danych osobowych.

Co powinny robić witryny?

Jeśli chodzi o strony internetowe (a obecnie ma je prawie każda firma), większość naruszeń tutaj jest związana właśnie z niewłaściwym gromadzeniem i wykorzystywaniem danych osobowych (część 1 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).

Przykładowo, często w formularzu rejestracyjnym na stronie internetowej używane są takie pola jak „data urodzenia” i „telefon”, a w formularzu profilu użytkownika – „patronimiczne”, „data urodzenia”, „miejsce zamieszkania” (kraj , region/region, miasto).

Należy rozumieć, że aby zarejestrować użytkownika w większości zasobów internetowych, nie jest konieczna znajomość takich danych jak numer telefonu użytkownika i miejsce zamieszkania/rejestracji. Informacje te należy usunąć z formularza rejestracyjnego.

A z formularza profilu osobistego lepiej usunąć takie informacje, jak „zawód”, „strona www”, Skype (lub inny komunikator) i „data urodzenia”.

Osoby z zewnątrz (a Twoja firma jest taką osobą) nie muszą znać tych informacji. Formularz subskrypcji aktualności serwisu powinien zbierać informacje wyłącznie o e-mailach użytkowników. Formularz rejestracyjny może zawierać imię, nazwisko, adres e-mail i płeć użytkownika.

Zbieranie niepotrzebnych informacji w trakcie kontroli może zostać uznane za naruszenie.

Przestrzeganie zasad opisanych powyżej oraz znajomość prawa pozwoli Państwu uniknąć odpowiedzialności za jego naruszenie. W takim przypadku należy wziąć pod uwagę jedną ważną okoliczność. Jeśli wcześniej ustawa o danych osobowych omijała Twoją firmę i nie ponosiłeś żadnej odpowiedzialności za jej naruszenie, to od 1 lipca wszystko może się diametralnie zmienić.

Faktem jest, że od tej daty zaczyna obowiązywać uproszczona procedura pociągnięcia do odpowiedzialności administracyjnej. Wcześniej sprawy w tym zakresie wszczynała prokuratura (art. 28 ust. 1 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Zgodnie z nowymi przepisami (klauzula 58 ust. 2 art. 28 ust. 3 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej) sprawy będą wszczynane przez sam Roskomnadzor bez udziału prokuratorów. W praktyce oznacza to, że liczba kar finansowych i spraw kierowanych do sądów może znacznie wzrosnąć, a uchylanie się od odpowiedzialności stanie się znacznie trudniejsze.

Do art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej. Kary za nielegalne przetwarzanie danych osobowych znacznie wzrosły, a Roskomnadzor uzyskał pełną swobodę działania w stosunku do sprawców naruszeń.

Podpowiadamy, jak zrobić wszystko dobrze i chronić swój biznes.

Jaka jest istota 152-FZ

Każda osoba prawna, indywidualny przedsiębiorca lub organizacja non-profit jest operatorem danych osobowych, które są podzielone na 3 kategorie:

• informacje o pracownikach,
• informacje o kliencie,
• dane o użytkownikach serwisu.

Każdy operator podlega wymagania przepisy dotyczące przetwarzania i ochrony danych osobowych:

• dane mogą być pozyskiwane, przechowywane i wykorzystywane wyłącznie za zgodą właścicieli,
• można je wykorzystywać wyłącznie w celach określonych we wspólnym porozumieniu,
• konieczne jest przechowywanie danych na terytorium Federacji Rosyjskiej (dotyczy to wszystkich rodzajów mediów – w szczególności hostingu stron internetowych),
• po zakończeniu korzystania wymagane jest usunięcie lub anonimizacja danych.

Roskomnadzor, Federalna Służba Kontroli Technicznej i Eksportu, a nawet Inspekcja Pracy mogą karać za nielegalne przetwarzanie danych osobowych.

Nie odpowiedziałeś na czas na prośbę użytkownika o usunięcie go z listy mailingowej? Grzywna 40 tysięcy rubli. Zachowaj życiorysy pracowników w domenie publicznej - 50 tysięcy rubli. Brak powiadomienia użytkowników serwisu o gromadzeniu ich danych osobowych - 75 tysięcy rubli.

Nie zapominaj, że kary za różne naruszenia kumulują się, witryna grozi blokowaniem, a szczególnie aktywni właściciele danych osobowych mogą zwrócić się do sądu i zażądać odszkodowania za szkody moralne.

Jak przestrzegać prawa

1. Najpierw dostosuj witrynę do wymagań 152-FZ - najprawdopodobniej od tego rozpocznie się audyt i przede wszystkim dotrą do tych, którzy nie mają ani słowa o danych osobowych na stronie.
2. Następnie zacznij wprowadzać zmiany w obiegu dokumentów w firmie – może to zająć ponad miesiąc.
3. Nie wykorzystuj danych użytkowników do celów reklamowych bez ich zgody. Dotyczy to zarówno użytkowników online, jak i kupujących sklepy offline, którzy podczas otrzymywania kart lojalnościowych pozostawiają swoje współrzędne. Obywatele zmęczeni irytującymi mailingami mogą teraz złożyć skargę na Ciebie i zostać wysłuchani.
4. Jeśli masz europejskich pracowników, klientów lub docelowych odbiorców, od 26 maja 2018 r. będziesz także musiał przestrzegać RODO.

Plan działania: strona internetowa

Krok 1. Opracuj i zatwierdź Politykę Prywatności firmy

Właściciele stron internetowych muszą opracować i zatwierdzić w drodze zamówienia własny dokument, który będzie określał prawa i obowiązki operatora w związku z gromadzeniem i przetwarzaniem danych osobowych użytkowników.

W jakich przypadkach NIE trzeba składać wniosku:

• jeśli przetwarzasz dane osobowe bez narzędzi automatyzacji (komputer),
• jeśli przetwarzasz wyłącznie wewnętrzne dane osobowe (pracowników, klientów lub partnerów na podstawie stosunku umownego),
• czy wszystkie dane Twoich użytkowników są publicznie dostępne (np. komentarze pod postami),
• jeśli zbierasz tylko imiona i nazwiska użytkowników,
• struktury publiczne, religijne i rządowe.

Wszystkie witryny, w których użytkownicy zostawiają adres e-mail, numer telefonu lub informacje o płatności, wymagają aplikacji.

Plan działania: obieg dokumentów

Krok 1. Wyznacz osoby odpowiedzialne za PD

Konieczne jest wyznaczenie pracownika odpowiedzialnego za przetwarzanie danych osobowych w firmie – mowa tu o danych pracowników, klientów i partnerów. Może to być księgowy lub ktoś z kierownictwa.

Krok 2. Opracuj wewnętrzne zasady postępowania z danymi osobowymi

Konieczne jest ustalenie Regulaminu przetwarzania danych osobowych w firmie i zapoznanie z nim pracowników w formie pisemnej. Dokument musi m.in. odzwierciedlać poziomy dostępu do poufnych danych zgodnie z opisami stanowisk. Wszyscy pracownicy muszą podpisać umowę o zachowaniu poufności.

Zasady przetwarzania danych osobowych muszą być określone w odrębnym punkcie w umowach z klientami i partnerami firmy. Można to również zrobić w formie Umowy, która jest podpisana jako uzupełnienie istniejącej umowy.

Nie wymagane, ale zalecane

1. Chroń systemy informacyjne

Jeśli poufne dane użytkowników są zawarte w systemach informatycznych (na przykład 1C, CRM itp.), Należy upewnić się o ich wysokim poziomie bezpieczeństwa technicznego, sporządzić specjalną ustawę, a jeśli istnieją zagrożenia, specyfikację techniczną dla zaprojektowanie systemu ochrony z wykorzystaniem produktu zalecanego przez FSTEC. Procedura jest długa i dość kosztowna.

Przede wszystkim dotyczy to korporacji, dużych sklepów internetowych, instytucji rządowych i publicznych. Szczególną ostrożność powinni zachować właściciele firm, które gromadzą i przetwarzają dane od ponad 100 000 podmiotów dotyczące poglądów politycznych, zdrowia, życia intymnego, rasy lub narodowości oraz przekonań religijnych.

Ryzyko weryfikacji tego wymogu przez FSTEC i FSB Federacji Rosyjskiej dla małych i średnich przedsiębiorstw jest niezwykle małe. Opcją budżetową, aby być po bezpiecznej stronie, jest zorganizowanie przechowywania baz danych w chmurze za pomocą specjalnej usługi.

2. Przejdź na bezpieczny protokół HTTPS

Zainstalowanie protokołu HTTPS do szyfrowania danych i bezpiecznej transmisji nie jest wymogiem 152-FZ, ale jest wysoce zalecane. Jeśli jeszcze tego nie zrobiłeś, zalecamy zaplanowanie przejścia przed końcem 2018 roku.

Dlaczego jest to potrzebne w skrócie: protokół zapobiega przechwyceniu informacji przez usługę strony trzeciej i wykorzystaniu ich przez oszustów, znacznie zwiększając zaufanie zarówno użytkowników, jak i wyszukiwarek.

Aby zapewnić prawidłowe przejście na HTTPS, skontaktuj się ze swoim wykonawcą SEO.

Praktyka pokazuje jednak, że organ regulacyjny podczas kontroli najprawdopodobniej zinterpretuje prawo na swoją korzyść. Zalecamy, aby wszyscy zastosowali się do określonego przez nas minimum i spali spokojnie.

Dla naszych klientów zajmujących się promocją sami spełniamy wymagania dotyczące witryny (punkty 1-4).

Przyjęty 27 lipca 2006 r Ustawa federalna nr 152-FZ „O danych osobowych” zapewnienia ochrony praw i wolności człowieka i obywatela przy przetwarzaniu jego danych osobowych, w tym ochrony prawa do prywatności, tajemnicy osobistej i rodzinnej. Jednym z powodów przyjęcia tej ustawy były liczne przypadki kradzieży baz danych osobowych w strukturach rządowych i komercyjnych oraz ich masowa sprzedaż.

Co oznacza termin „dane osobowe”?

Definicja danych osobowych (PD) znajdowała się jeszcze przed przyjęciem ustawy, np. w zatwierdzonej „Wykazie informacji poufnych” Dekret Prezydenta Federacji Rosyjskiej nr 188 z dnia 6 marca 1997 r.:

DO informacje poufne obejmują: informacje o faktach, zdarzeniach i okolicznościach z życia prywatnego obywatela, pozwalające na identyfikację jego osobowości ( dane osobowe), z wyjątkiem informacji podlegających rozpowszechnianiu w mediach w przypadkach przewidzianych przez prawo federalne.

Ustawa je jednak uzupełniła. Teraz wg FZ-152, dane osobowe -

wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie tych informacji (przedmiotu danych osobowych), w tym jej nazwisko, imię, patronimika, rok, miesiąc, data i miejsce urodzenia, adres, rodzinny, społeczny, majątkowy , wykształcenie, zawód, dochód, inne informacje.

Zatem danymi osobowymi są przede wszystkim dane paszportowe, informacje o stanie cywilnym, informacje o wykształceniu, numer NIP, zaświadczenie o ubezpieczeniu emerytalnym, ubezpieczeniu medycznym, informacje o aktywności zawodowej, statusie społecznym i majątkowym, informacje o dochodach. Prawie każda organizacja posiada takie dane.

Ubiegając się o pracę, są to dane z działu HR pracodawcy, które pracownik wskazuje w swojej karcie osobistej, autobiografii i innych dokumentach wypełnianych przy zawieraniu umowy o pracę.

Kiedy dziecko trafia do przedszkola, szkoły, instytutu czy innej placówki oświatowej, wypełnianych jest także wiele ankiet i formularzy, w których podawane są dane zarówno dziecka (np. dane z aktu urodzenia), jak i jego rodziców (do miejsca urodzenia). praca, zajmowane stanowisko).

Podczas leczenia w placówkach medycznych konieczne jest podanie nie tylko danych paszportowych, ale także informacji o świadczeniach, ubezpieczeniu medycznym, informacji o przebytych zabiegach i wynikach badań. W wielu placówkach medycznych dokumentacja ambulatoryjna/szpitalna jest powielana w formie elektronicznej.

A wszystkie te dane, zgodnie z obowiązującym prawem, podlegają ochronie.

Od czego zacząć ochronę i czy jest ona w ogóle konieczna?

Poufność danych osobowych - obligatoryjne dla operatora lub innej osoby mającej dostęp do danych osobowych dopełnienia wymogu niedopuszczenia do ich rozpowszechniania bez zgody podmiotu danych osobowych lub istnienia innej podstawy prawnej ( FZ-152).

Operator - organ państwowy, organ samorządowy, osoba prawna lub osoba fizyczna, która organizuje i/lub dokonuje przetwarzania danych osobowych, a także ustala cele i treść przetwarzania danych osobowych ( FZ-152).

System informacji o danych osobowych (ISPDn) – system informacyjny stanowiący zbiór danych osobowych zawartych w bazie danych oraz technologie informacyjne i środki techniczne umożliwiające przetwarzanie takich danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez użycia takich narzędzi ( FZ-152).

Przetwarzanie danych osobowych - są to działania (operacje) na danych osobowych, obejmujące zbieranie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizację, blokowanie, niszczenie danych osobowych ( FZ-152).

Przetwarzając dane osobowe, operator ma obowiązek podjąć wszelkie niezbędne środki organizacyjne i techniczne, aby chronić dane osobowe przed nieuprawnionym lub przypadkowym dostępem, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

Co należy zrobić, aby chronić dane osobowe?

Przede wszystkim należy ustalić, jakie systemy informacji o danych osobowych istnieją i jakiego rodzaju dane osobowe są w nich przetwarzane.

Klasyfikacja systemu informacji o danych osobowych

Aby zrozumieć, jak istotny jest problem ochrony WNZ, a także dobrać niezbędne metody i metody ochrony WNZ, operator musi dokonać klasyfikacji ISPD. Kolejność klasyfikacji jest ustalona zarządzeniem FSTEC Rosji, FSB Rosji i Ministerstwa Informacji i Komunikacji Rosji nr 55/86/20 z dnia 13 lutego 2008 r..

Operator tworzy zatem komisję (na polecenie kierownika organizacji), która po analizie wstępnych danych podejmuje decyzję o przypisaniu ISPD odpowiedniej klasy. Podczas klasyfikacji określa się:

• kategoria przetwarzanych danych osobowych;
• ilość przetwarzanych danych osobowych;
• rodzaj systemu informacyjnego;
• strukturę systemu informacyjnego i lokalizację jego środków technicznych;
• sposoby przetwarzania danych osobowych;
• tryby ograniczania praw dostępu użytkowników;
• dostępność połączeń z sieciami publicznymi i (lub) międzynarodowymi sieciami wymiany informacji.

Według zamówienie nr 55/86/20, wszystkie systemy informacyjne (IS) dzielą się na standardowe i specjalne.

Typowe systemy informacyjne - systemy informatyczne wymagające zapewnienia wyłącznie poufności danych osobowych.

Specjalne systemy informacyjne - systemy informatyczne, w których niezależnie od konieczności zapewnienia poufności danych osobowych, konieczne jest zapewnienie co najmniej jednej z cech bezpieczeństwa danych osobowych innych niż poufność (zabezpieczenie przed zniszczeniem, modyfikacją, zablokowaniem, a także innym nieuprawnionym działania).

W praktyce okazuje się, że praktycznie nie ma standardowych systemów informatycznych, gdyż w większości przypadków oprócz poufności konieczne jest także zapewnienie integralności i dostępności informacji. Ponadto systemy specjalne muszą obejmować:

• systemy informacyjne, w których przetwarzane są dane osobowe dotyczące stanu zdrowia osób, których dane dotyczą;
• systemy informatyczne umożliwiające podejmowanie, bazujące wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, decyzji wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszającego jego prawa i uzasadnione interesy.

Zatem na podstawie wyników analizy danych wyjściowych komisja przypisuje systemowi danych osobowych odpowiednią klasę:

klasa 1 (K1)- systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować istotnymi negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 2 (K2)- systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 3 (K3)- systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować niewielkimi negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 4 (K4)- systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych.

Wyniki klasyfikacji dokumentowane są w Ustawie o klasyfikacji ISPD, która wskazuje rodzaj ISPD (standardowy, specjalny), klasę przypisaną ISPD oraz warunki, na podstawie których podjęto decyzję.

Jak już wspomniano, klasyfikacja jest konieczna do dalszego wyboru metod i środków ochrony danych osobowych przetwarzanych w ISPD, ponieważ dokumenty FSTEC i FSB ustalają dla każdej klasy własne wymagania dotyczące ochrony ISPD, o czym porozmawiamy nieco później.

Zgoda PD podlegającego przetwarzaniu

Następnie należy przystąpić do przetwarzania tych danych, jednak zanim ich przetwarzanie będzie zgodne z prawem, konieczne jest uzyskanie zgody podmiotu danych osobowych na przetwarzanie (prawo zapobiega w ten sposób nielegalnemu gromadzeniu i wykorzystywaniu danych osobowych):

Artykuł 6 ustawy federalnej nr 152:

Przetwarzanie danych osobowych może odbywać się przez Operatora za zgodą podmiotów danych osobowych, z wyjątkiem następujących przypadków:

1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;

2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;

3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

5) przetwarzanie danych osobowych jest niezbędne do doręczania przesyłek pocztowych przez organizacje pocztowe, do dokonywania przez operatorów telekomunikacyjnych płatności na rzecz użytkowników usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także do rozpatrywania roszczeń użytkowników usług komunikacyjnych;

6) przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub na potrzeby działalności naukowej, literackiej lub innej działalności twórczej, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;

7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami prawa federalnego, w tym dane osobowe osób zajmujących stanowiska rządowe, stanowiska w państwowej służbie cywilnej, dane osobowe kandydatów na wybieralne stanowiska stanowe lub samorządowe.

Jeśli więc nasz przypadek przetwarzania danych osobowych jest przewidziany w części 2 art. 6 ustawy federalnej nr 152, wówczas uzyskanie zgody nie jest konieczne.

Trzeba się także kierować Kodeks pracy, rozdział 14. Na przykład, pracodawca ma prawo otrzymywać i przetwarzać dane dotyczące życia prywatnego pracownika wyłącznie za jego pisemną zgodą (Art. 86 ust. 4 Kodeksu pracy).

Według Artykuł 9 ustawy federalnej nr 152 konieczne jest uzyskanie zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych na piśmie. Pisemna zgoda osoby, której dane dotyczą, musi zawierać:

• nazwisko, imię, patronimika, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informacja o dacie wystawienia określonego dokumentu i organie wydającym;
• imię i nazwisko (nazwisko, imię, nazwisko rodowe) i adres operatora otrzymującego zgodę podmiotu danych osobowych;
• cel przetwarzania danych osobowych;
• wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;
• wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów stosowanych przez operatora przy przetwarzaniu danych osobowych;
• okres ważności zgody i tryb jej wycofania.

Regulamin regulujący procedurę przetwarzania i ochrony danych osobowych

Tym samym operator otrzymał (jeżeli jest taka potrzeba) zgodę na przetwarzanie danych osobowych – dane osobowe mogą być przetwarzane. Ale według Kodeks Pracy I FZ-152 konieczne jest opracowanie (jeśli takowe istnieje, sfinalizowanie zgodnie z ustawą federalną) rozporządzenia regulującego tryb przechowywania, przetwarzania i ochrony danych osobowych. Nazwijmy to warunkowo Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych. Przepis dotyczący zapewnienia bezpieczeństwa danych osobowych jest dokumentem wewnętrznym (lokalnym) organizacji. Dokument ten nie ma ścisłej formy, ale musi spełniać wymagania TK I FZ-152, a zatem powinien wskazywać:

Rozporządzenie w sprawie zapewnienia bezpieczeństwa danych osobowych zatwierdza kierownik organizacji lub osoba przez niego upoważniona i wprowadza w życie zarządzeniem kierownika. Pracodawca ma obowiązek zapoznać pracownika z Regulaminem... po jego podpisaniu.

Lista osób uprawnionych do przetwarzania danych osobowych

Ponadto konieczne jest wydanie wykaz osób uprawnionych do przetwarzania danych osobowych, tj. wykaz osób (według stanowiska), które potrzebują dostępu do danych osobowych w celu wykonywania swoich obowiązków służbowych. Są to przede wszystkim pracownicy obsługi personalnej, gdyż gromadzą i generują dane o pracowniku, a także pracownicy księgowi. Ponadto kierownicy jednostek strukturalnych (na przykład kierownicy działów) mogą uzyskać dostęp do tych informacji - i to również należy odzwierciedlić na liście. Jednak wszyscy mają prawo żądać nie żadnych danych, a jedynie tych, które są niezbędne do wykonywania określonych funkcji pracowniczych (na przykład w celu obliczenia ulg podatkowych dział księgowości nie otrzyma wszystkich informacji o pracowniku, a jedynie dane dotyczące liczba osób na jego utrzymaniu). Dlatego wskazane jest spisanie listy zasobów informacyjnych, do których użytkownicy mają dostęp.

Lista osób upoważnionych do przetwarzania danych osobowych może zostać sporządzona jako załącznik do Regulaminu zapewnienia bezpieczeństwa danych osobowych lub jako odrębny dokument zatwierdzany przez zarządzającego.

Powiadomienie Roskomnadzoru

Dalej zgodnie z Artykuł 22 FZ-152 Przed przetwarzaniem danych osobowych operator ma obowiązek powiadomić uprawniony organ ds. ochrony praw osób, których dane dotyczą (dziś jest to Federalna Służba Nadzoru Łączności, Technologii Informacyjnych i Komunikacji Masowej (Roskomnadzor)) o zamiarze przetwarzania danych osobowych, za wyjątkiem przypadków przewidzianych Część 2 artykułu 22 ustawy federalnej nr 152:

Operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym uprawnionego organu ochrony praw osób, których dane dotyczą:

1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i są wykorzystywane przez operator wyłącznie w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

4) które stanowią publicznie dostępne dane osobowe;

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej ustanawiającymi wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą

Wymagania dotyczące powiadomień są określone w Część 3 Artykuł 22 FZ-152. Formularz zgłoszenia przetwarzania (zamiaru przetwarzania) danych osobowych można wypełnić elektronicznie na stronie internetowej Roskomnadzor: http://pd.rsoc.ru/operators-registry/notification/form/

Teraz możesz rozpocząć przetwarzanie danych osobowych, rozwiązując jednocześnie najbardziej złożone i problematyczne zagadnienie – zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania.

Zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania

Środki ochrony informacji są pracochłonne i mogą wiązać się ze znacznymi kosztami finansowymi, ze względu na konieczność:

• uzyskać (w razie potrzeby) licencję na działalność związaną z techniczną ochroną informacji poufnych od FSTEC Rosji;
• zaangażować licencjobiorcę FSTEC Rosji do wdrożenia środków w celu stworzenia systemu ochrony ISPD i/lub jego certyfikacji zgodnie z wymogami bezpieczeństwa informacji;
• wysyłać pracowników odpowiedzialnych za zapewnienie bezpieczeństwa informacji na zaawansowane szkolenia z zakresu bezpieczeństwa informacji i/lub zatrudniać specjalistów ds. bezpieczeństwa informacji;
• instalować środki ochrony informacji (IPI) certyfikowane zgodnie z wymogami FSTEC, środki ochrony informacji kryptograficznej (CIPF) certyfikowane przez FSB, w zależności od klasy ISPDn.

Niektóre rzeczy możesz zrobić sam, ale w innych lepiej zaufać ekspertom. Jednak ochrona danych osobowych jest konieczna w taki czy inny sposób.

Artykuł 19, ustawa federalna-152:

Przetwarzając dane osobowe, operator ma obowiązek podjąć niezbędne środki organizacyjne i techniczne, aby chronić dane osobowe przed nieuprawnionym lub przypadkowym dostępem, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

• „Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” został zatwierdzony Dekretem Rządu Federacji Rosyjskiej nr 781 z dnia 17 listopada 2007 r.
• „Przepisy dotyczące specyfiki przetwarzania danych osobowych bez użycia narzędzi automatyzacji” zostały zatwierdzone dekretem Rządu Federacji Rosyjskiej nr 687 z dnia 15 września 2008 r.
• „Wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologii przechowywania takich danych poza systemami informacyjnymi danych osobowych” zostały zatwierdzone dekretem Rządu Federacji Rosyjskiej nr 512 z dnia 6 lipca 2008 r.
• Specjalne wymagania i zalecenia dotyczące technicznej ochrony informacji poufnych (STR-K), zatwierdzone zarządzeniem Państwowej Komisji Technicznej Rosji nr 282 z 30 sierpnia 2002 r. (DSP)
• Podstawowy model zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 roku (Wyciąg, przy rozważaniu zagrożeń wycieku informacji kanałami fałszywego promieniowania elektromagnetycznego i zakłóceń (PEMIN) należy zastosować pełna wersja tego dokumentu - DSP)
• Metodologia określania aktualnych zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Decyzją FSTEC z dnia 16 listopada 2009 r. usunięto oznaczenie „do użytku służbowego”)
• Zalecenia dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Decyzją FSTEC z dnia 11 listopada 2009 r. usunięto oznaczenie „do użytku służbowego”)
• Główne środki organizacji i technicznego zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Znak „do użytku służbowego” został usunięty decyzją FSTEC z dnia 11 listopada 2009 r.)
• Zalecenia metodologiczne dotyczące zapewnienia bezpieczeństwa danych osobowych z wykorzystaniem narzędzi kryptograficznych podczas ich przetwarzania w systemach informatycznych danych osobowych z wykorzystaniem narzędzi automatyzacji. FSB, 21 lutego 2008 r
• Standardowe wymagania dotyczące organizacji i zapewnienia funkcjonowania szyfrowania (kryptograficznego) oznaczają, którego zadaniem jest ochrona informacji nie zawierających informacji stanowiących tajemnicę państwową w przypadku ich wykorzystania w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych. FSB, 21 lutego 2008 r

Nie będziemy szczegółowo omawiać wszystkich wymagań, jakie należy spełnić, aby zapewnić bezpieczeństwo danych osobowych przetwarzanych w ISPD – jest ich wiele i silnie zależą od konkretnego ISPD. Zastanówmy się nad głównymi punktami, które często powodują trudności dla operatorów.

Licencja – zdobyć czy nie dostać?

Ustawodawstwo, a także dokumenty FSTEC mówią nam, co następuje:

Artykuł 16 część 6 ustawy federalnej nr 149„O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r.:

Ustawy federalne mogą ustanawiać ograniczenia w korzystaniu z niektórych narzędzi bezpieczeństwa informacji i realizacji niektórych rodzajów działań w dziedzinie bezpieczeństwa informacji.

Artykuł 17, część 1, klauzula 11 ustawy federalnej nr 128„O licencjonowaniu niektórych rodzajów działalności” z dnia 8 sierpnia 2001 r.:

Zgodnie z tą ustawą federalną licencjonowaniu podlegają następujące rodzaje działalności: działalność mająca na celu techniczną ochronę informacji poufnych.

Dekret Rządu Federacji Rosyjskiej nr 504„O działalności licencyjnej w zakresie technicznej ochrony informacji poufnych” z dnia 15 sierpnia 2006 r.

Przez techniczną ochronę informacji poufnych rozumie się zespół środków i (lub) usług mających na celu ich ochronę przed nieuprawnionym dostępem, w tym kanałami technicznymi, a także przed szczególnym wpływem na takie informacje w celu ich zniszczenia, zniekształcenia lub zablokowania dostępu do nich. To.

Główne wydarzenia… FSTEC
Punkt 3.14

Zgodnie z przepisami ustawy federalnej nr 128 „W sprawie licencjonowania niektórych rodzajów działalności” oraz wymogami dekretu rządowego nr 504 „W sprawie licencjonowania działalności w zakresie technicznej ochrony informacji poufnych”, operatorzy ISPDn podczas wykonywania środków zapewniających bezpieczeństwo danych osobowych (informacji poufnych) podczas ich przetwarzania w klasach ISPDn 1, 2 i 3 (systemy rozproszone) powinno otrzymać zezwolenie na prowadzenie działalności w zakresie technicznej ochrony informacji poufnych w przepisany sposób.

Odpowiedział także na pytanie o potrzebę posiadania licencji Szef wydziału FSTEC Rosji Igor Grigoriewicz NAZAROV przy okrągłym stole zorganizowanym przez magazyn „Connect! World of Communications” (http://www.connect.ru/article.asp?id=9406):

Pytanie: Czy operatorzy przetwarzający dane osobowe w ISPD muszą uzyskać licencję na techniczną ochronę informacji poufnych?

Igor Nazarow: Zgodnie z dokumentami FSTEC wymagana jest licencja dla operatorów danych osobowych, którzy samodzielnie prowadzą taką działalność w systemach informatycznych klasy 1, klasy 2 i systemach rozproszonych geograficznie klasy 3, z reguły są to duże państwowe systemy informacyjne. Jednocześnie w przypadku przychodni, przedszkoli, aptek itp. z ISPD klas 3 i 4 uzyskanie takich licencji nie jest wymagane.

Zgodnie z Dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. nr 781, w przypadku zawarcia przez operatora ISPDn umowy o podjęcie odpowiednich działań w zakresie ochrony informacji (PD) z osobą upoważnioną – licencjobiorcą FSTEC z Rosji, nie jest wymagane posiadanie licencji.

Zatem w przypadku małych organizacji zamiast pozyskiwać licencję FSTEC TZKI na prowadzenie działań zapewniających bezpieczeństwo danych osobowych (stworzenie systemu ochrony ISPD, certyfikacja) bardziej opłacalne będzie pozyskanie licencjobiorcy FSTEC, który będzie wykonać wszystkie niezbędne prace.

W przypadku dużych organizacji (takich jak operatorzy telekomunikacyjni, duże banki itp.) bardziej opłaca się samodzielnie uzyskać licencję i wykonać wszystkie niezbędne prace.

Tryb udzielania zezwolenia na prowadzenie działalności w zakresie technicznej ochrony informacji poufnych określa „ Regulamin działalności licencyjnej w zakresie technicznej ochrony informacji poufnych„(zatwierdzony dekretem rządu Federacji Rosyjskiej z dnia 15 sierpnia 2006 r. nr 504). Wymagania do uzyskania licencji:

a) obecność w personelu ubiegającego się o licencję (licencjobiorcę) specjalistów, którzy posiadają wyższe wykształcenie zawodowe w zakresie bezpieczeństwa informacji technicznych lub wykształcenie wyższe lub średnie zawodowe (techniczne) i przeszli przekwalifikowanie lub szkolenie zaawansowane w zakresie zagadnień bezpieczeństwa informacji technicznych ;

b) obecność pomieszczeń dla wnioskodawcy (licencjobiorcy) do prowadzenia licencjonowanej działalności zgodnej ze standardami technicznymi i wymaganiami dotyczącymi technicznej ochrony informacji ustanowionymi w regulacyjnych aktach prawnych Federacji Rosyjskiej i będących jego własnością na mocy prawa własności lub na inna podstawa prawna;

c) obecność, na jakiejkolwiek podstawie prawnej, sprzętu produkcyjnego, testującego i kontrolnego, który przeszedł weryfikację metrologiczną (kalibracja), oznakowanie i certyfikację zgodnie z ustawodawstwem Federacji Rosyjskiej;

d) stosowanie zautomatyzowanych systemów przetwarzających informacje poufne, a także środków ochrony takich informacji, które przeszły procedurę oceny zgodności (certyfikowane i/lub certyfikowane zgodnie z wymogami bezpieczeństwa informacji) zgodnie z ustawodawstwem Federacji Rosyjskiej;

e) korzystania z programów komputerowych i baz danych przeznaczonych do prowadzenia działalności licencjonowanej na podstawie umowy z podmiotem praw autorskich;

f) dostępność regulacyjnych aktów prawnych, dokumentów regulacyjnych, metodologicznych i metodologicznych dotyczących zagadnień ochrony informacji technicznych zgodnie z listą ustaloną przez Federalną Służbę Kontroli Technicznej i Eksportu.

Etapy tworzenia SZPDn

Według Główne wydarzenia w celu organizacji i wsparcia technicznego bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych wydanych przez FSTEC utworzenie systemu ochrony danych osobowych (PDPS) składa się z następujących etapów:

1. Etap przedprojektowy

1.1 oględziny obiektu informatyzacji:

• ustalenie konieczności przetwarzania PD w ISPD;
• ustalenie wykazu danych osobowych podlegających ochronie;
• określenie warunków lokalizacji ISPD względem granic obszaru kontrolowanego (CA);
• określenie konfiguracji i topologii ISPD jako całości oraz jej poszczególnych elementów; powiązania fizyczne, funkcjonalne i technologiczne zarówno w ramach ISPD, jak i z innymi systemami o różnym poziomie i przeznaczeniu;
• określenie środków technicznych i systemów stosowanych w chronionym ISPD, warunków ich lokalizacji;
• identyfikacja oprogramowania systemowego, specjalnego i aplikacyjnego wykorzystywanego w chronionym ISPD;
• określenie trybu przetwarzania informacji w ISPD jako całości i w poszczególnych elementach;
• przeprowadzanie klasyfikacji ISPD;
• określanie stopnia udziału personelu w przetwarzaniu (dyskusja, przekazywanie, przechowywanie) informacji, charakteru ich wzajemnych interakcji;
• identyfikacja i sporządzenie listy podatności i zagrożeń bezpieczeństwa informacji, ocena istotności zagrożeń dla bezpieczeństwa informacji;
• opracowanie modelu zagrożenia prywatnego.

1.2 opracowanie specyfikacji technicznych utworzenia SZPD, która powinna zawierać:

• uzasadnienie potrzeby opracowania SPDn;
• dane źródłowe ISPD w aspekcie technicznym, programowym, informacyjnym i organizacyjnym;
• klasa ISPDn;
• link do dokumentów regulacyjnych, biorąc pod uwagę, który SPPD zostanie opracowany, a ISPD przyjęty do użytku;
• specyfikacja działalności i wymagań dla SZPD;
• wykaz certyfikowanych narzędzi bezpieczeństwa informacji przeznaczonych do stosowania;
• uzasadnienie opracowania własnych narzędzi bezpieczeństwa informacji w przypadku braku możliwości lub niepraktycznego wykorzystania dostępnych na rynku certyfikowanych narzędzi bezpieczeństwa informacji;
• skład, treść i harmonogram prac na etapach opracowania i wdrożenia SPDn.

2. Etap projektowania i realizacji SZPDn

2.1 opracowanie projektu utworzenia SZPDn;

2.2 opracowanie środków organizacyjnych i technicznych zapewniających ochronę informacji zgodnie z wymaganiami;

2.3 zakup certyfikowanych narzędzi bezpieczeństwa informacji;

2.4 opracowanie i wdrożenie systemu zezwoleń na dostęp użytkowników i personelu do informacji przetwarzanych w ISPD;

2.5 instalacja i konfiguracja urządzeń informacyjnych i informacyjnych;

2.6 identyfikacja działów i osób odpowiedzialnych za działanie narzędzi bezpieczeństwa informacji, przeszkolenie wyznaczonych osób ze specyfiki pracy przy ochronie danych osobowych;

2.7 opracowywanie dokumentacji operacyjnej ISPD i narzędzi bezpieczeństwa informacji oraz dokumentacji organizacyjno-administracyjnej dotyczącej bezpieczeństwa informacji (regulaminy, zarządzenia, instrukcje i inne dokumenty);

2.8 wdrażanie innych środków mających na celu ochronę informacji.

3. Etap wprowadzania w życie SZPDn

3.1 próbne działanie narzędzi bezpieczeństwa informacji w połączeniu z innym sprzętem i oprogramowaniem w celu przetestowania ich działania w ramach ISPD;

3.2 badania akceptacyjne sprzętu bezpieczeństwa informacji na podstawie wyników eksploatacji próbnej z wykonaniem protokołu odbioru;

3.3 ocena zgodności ISPD z wymogami bezpieczeństwa informacji - certyfikacja (deklaracja) zgodnie z wymogami bezpieczeństwa informacji.

4. Utrzymanie i wsparcie systemu bezpieczeństwa informacji

Dokumentacja organizacyjno-administracyjna dotycząca ochrony danych osobowych

Oprócz rozwiązań technicznych dla tworzonego systemu ochrony danych osobowych, operator musi zapewnić opracowanie dokumentów organizacyjnych i administracyjnych, które będą regulowały wszelkie pojawiające się kwestie związane z zapewnieniem bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD i funkcjonowaniem SPPD. Takich dokumentów jest sporo, najważniejsze z nich to:

1. Regulamin zapewnienia bezpieczeństwa PD- na początku artykułu poruszyliśmy już temat celu i składu tego dokumentu. Na wszelki wypadek powtarzamy – powinno wskazywać:

• cel i cele w zakresie ochrony danych osobowych;
• koncepcja i skład danych osobowych;
• w jakich jednostkach strukturalnych i na jakich nośnikach (papierowym, elektronicznym) te dane są gromadzone i przechowywane;
• w jaki sposób gromadzone i przechowywane są dane osobowe;
• w jaki sposób są przetwarzane i wykorzystywane;
• kto (według stanowiska) w firmie ma do nich dostęp;
• zasady ochrony danych osobowych, w tym przed nieuprawnionym dostępem;
• prawa pracowników w celu zapewnienia ochrony ich danych osobowych;
• odpowiedzialność za ujawnienie informacji poufnych związanych z danymi osobowymi pracowników.

2. Zorganizować system przyjmowania i rejestracji osób upoważnionych do pracy z danymi osobowymi w ISPD, - Lista osób uprawnionych do przetwarzania danych osobowych(wykaz według stanowiska osób, które potrzebują dostępu do danych osobowych w celu wykonywania obowiązków służbowych) oraz Dostęp do Matrycy(powinno odzwierciedlać uprawnienia użytkowników do wykonywania określonych czynności w odniesieniu do określonych zasobów informacyjnych ISPD – czytanie, pisanie, poprawianie, usuwanie). Obydwa dokumenty zatwierdza menadżer.

3. Model zagrożenia prywatnego(jeśli istnieje kilka ISDN, dla każdego z nich opracowywany jest model zagrożeń) - opracowany na podstawie wyników wstępnej ankiety. FSTEC z Rosji oferuje Podstawowy model zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zgodnie z którymi przy tworzeniu modelu prywatnego należy uwzględnić:

• zagrożenia wyciekiem informacji kanałami technicznymi;
• zagrożenia nieuprawnionym dostępem związane z działaniami osób naruszających prawo, które mają dostęp do ISPD i wdrażają zagrożenia bezpośrednio w ISPD. W takim przypadku należy uznać legalnych użytkowników ISPD za potencjalnych sprawców naruszenia;
• zagrożenia nieuprawnionym dostępem związane z działaniami osób naruszających prawo, które nie mają dostępu do ISPD, wdrażanie zagrożeń z zewnętrznych publicznych sieci komunikacji i (lub) międzynarodowych sieci wymiany informacji.

Opracowany model zagrożeń podlega zatwierdzeniu przez menedżera.

4. W oparciu o zatwierdzony model zagrożeń należy opracować ISPD wymogi dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD. Wymagania, podobnie jak model zagrożeń, są niezależnym dokumentem, który musi zostać zatwierdzony przez szefa organizacji.

Do opracowania modelu zagrożeń i wymagań wskazane jest, aby operator zaangażował specjalistów z organizacji licencjobiorców FSTEC.

5. Instrukcje w zakresie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD.

Ponadto, przed podjęciem wszelkich działań mających na celu ochronę danych osobowych, operator musi wyznaczyć urzędnika lub (jeśli system informatyczny jest wystarczająco duży) jednostkę strukturalną odpowiedzialną za zapewnienie bezpieczeństwa danych osobowych. Decyzja o powołaniu została podjęta na zamówienie lider. Zadania, funkcje i uprawnienia urzędnika (komórki) odpowiedzialnego za zapewnienie bezpieczeństwa PD określają wewnętrzne dokumenty organizacyjno-administracyjne ( opisy stanowisk, regulaminy).

Co trzeba certyfikować, a co nie?

Często panuje błędne przekonanie, że całe używane oprogramowanie musi być certyfikowane, a certyfikacja jest kosztowna i czasochłonna.

Żaden z dokumentów regulujących kwestie ochrony danych osobowych nie określa jednak, co należy certyfikować całe oprogramowanie. Narzędzia bezpieczeństwa informacji muszą być certyfikowane zgodnie z wymogami FSTEC Rosji, ale nie system, aplikacja lub specjalne oprogramowanie, które nie jest zaangażowane w ochronę ISPD.

Igor Nazarov: ...certyfikacja w zakresie kontroli braku substancji niezgodnych z przepisami funkcjonalność bezpieczeństwa, w szczególności narzędzia zabezpieczające, a nie całe oprogramowanie używane w systemie informatycznym (http://www.connect.ru/article.asp?id=9406).

Dziś dokumenty FSTEC, które można obejrzeć na stronie internetowej Federalnej Służby Kontroli Technicznej i Eksportu, mówią nam w tej sprawie, co następuje:

ISPD musi stosować wyłącznie środki techniczne i systemy ochrony certyfikowane zgodnie z wymogami bezpieczeństwa informacji.

Główne wydarzenia…

Klauzula 4.2: ... ISPD musi monitorować obecność niezadeklarowanych możliwości w oprogramowaniu i sprzęcie oraz analizować bezpieczeństwo systemu i oprogramowania użytkowego.

Klauzula 4.3: W przypadku oprogramowania stosowane w ochronie informacji ISPD (narzędzia bezpieczeństwa informacji, w tym wbudowane w oprogramowanie systemowe i aplikacyjne) muszą zapewniać odpowiedni poziom kontroli w przypadku braku informacji o niezgodnościach.

Nie ma zatem konieczności certyfikowania oprogramowania systemowego i aplikacyjnego, jeżeli nie jest ono objęte procesem bezpieczeństwa informacji – można tego dokonać na wniosek operatora.

Praktyka tworzenia systemów ochrony danych osobowych pokazuje, że należy z nich korzystać licencjonowane oprogramowanie(system, aplikacja i oprogramowanie specjalne) oraz certyfikowane narzędzia bezpieczeństwa informacji i ochrony antywirusowej(mogą to być informacje dotyczące bezpieczeństwa informacji pochodzące z NSD, produktów antywirusowych, zapór sieciowych, narzędzi do wykrywania włamań, narzędzi analizy bezpieczeństwa odpowiadających określonej klasie). Jeśli zainstalowany jest ISPDn narzędzia do zabezpieczania informacji kryptograficznych (CIPF), wówczas muszą być również certyfikowane zgodnie z wymogami FSB Rosji.

Należy zauważyć, że tylko licencjobiorca FSTEC ma prawo zainstalować certyfikowane informacje dotyczące bezpieczeństwa informacji, a licencjobiorca FSB ma prawo zainstalować CIPF.

Orzecznictwo

Ostatnim etapem tworzenia systemu ochrony ISPD powinna być certyfikacja (deklaracja zgodności) – zespół środków organizacyjnych i technicznych, w wyniku którego, poprzez specjalny dokument – ​​Certyfikat Zgodności (Wniosek), potwierdza się, że ISPD spełnia wymagania norm lub innych dokumentów regulacyjnych i metodologicznych dotyczących bezpieczeństwa informacji. Posiadanie ważnego Certyfikatu Zgodności uprawnia do przetwarzania informacji z zachowaniem odpowiedniego poziomu poufności przez okres czasu określony w Certyfikatze Zgodności.

Pytanie: Kto może certyfikować zakłady pracy pod kątem zgodności z wymogami przepisów i dokumentów regulacyjnych w zakresie danych osobowych?

Igor Nazarov: Licencjobiorcy FSTEC posiadający licencję na działalność w zakresie technicznej ochrony informacji poufnych mają prawo certyfikować ISPDn pod kątem zgodności z wymogami bezpieczeństwa informacji (http://www.connect.ru/article.asp?id=9406).

Certyfikacja polega na kompleksowym sprawdzeniu (testach certyfikacyjnych) źródła danych informacyjnych w rzeczywistych warunkach eksploatacyjnych w celu oceny zgodności przyjętego zestawu zabezpieczeń z wymaganym poziomem bezpieczeństwa danych osobowych.

Ogólnie rzecz biorąc, certyfikacja ISPD zgodnie z wymogami bezpieczeństwa informacji obejmuje następujące etapy:

• analiza danych wstępnych na temat certyfikowanego ISPD;
• przeprowadzenie ekspertyzy systemu informatycznego oraz analizę opracowanej dokumentacji w celu zapewnienia bezpieczeństwa danych osobowych pod kątem zgodności z wymogami dokumentów regulacyjnych i metodologicznych;
• przeprowadzanie kompleksowych badań certyfikacyjnych ISPD w rzeczywistych warunkach pracy z wykorzystaniem specjalnego sprzętu monitorującego i oprogramowania monitorującego bezpieczeństwo przed nieuprawnionym dostępem;
• analiza wyników kompleksowych badań certyfikacyjnych, przygotowanie i zatwierdzenie Wniosku oraz Certyfikatu Zgodności na podstawie wyników certyfikacji.

Ważne jest to w przypadku zmiany warunków przetwarzania i technologii Operator PD ma obowiązek powiadomienia organizacji licencjobiorcy, która przeprowadziła certyfikację PDIS. Po czym organizacja licencjobiorcy podejmuje decyzję o konieczności przeprowadzenia dodatkowej weryfikacji skuteczności systemu ochrony ISPD.

Odpowiedzialność i ryzyko związane z nieprzestrzeganiem wymogów prawnych

W przypadku niespełnienia wymogów zapewniających bezpieczeństwo danych osobowych, operator może narazić się na ryzyko roszczeń cywilnych ze strony klientów lub pracowników.

Co z kolei może odbić się na reputacji firmy, a także doprowadzić do wymuszonego zawieszenia (zakończenia) przetwarzania PD, pociągnięcia spółki i (lub) jej menadżera do odpowiedzialności administracyjnej lub innego rodzaju, a pod pewnymi warunkami – do odpowiedzialności zawieszenie lub cofnięcie licencji. Ponadto, zgodnie z ustawą federalną, osoby winne naruszenia wymogów ponoszą odpowiedzialność cywilną, karną, administracyjną, dyscyplinarną i inną przewidzianą w ustawodawstwie Federacji Rosyjskiej ( Artykuł 24 FZ-152):

• Dyscyplinarny (Kodeks pracy Federacji Rosyjskiej, art. 81, 90, 195, 237, 391);
• Administracyjny (Kodeks Federacji Rosyjskiej o wykroczeniach administracyjnych, artykuły 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
• Karny (Kodeks karny Federacji Rosyjskiej, artykuły 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

I co w końcu?...

Wiele osób twierdzi obecnie, że dzisiejsze ustawodawstwo oraz dokumenty regulacyjne i metodologiczne zawierają wiele nieścisłości, a w pewnym sensie nawet nadmiarów.

Wiele osób ma nadzieję, że w grudniu 2009 r. podjęto decyzję o przedłużeniu terminu spełnienia wymogów ustawy federalnej nr 152 do stycznia 2011 r.

Niezależnie od tego potrzeba ochrony danych osobowych pozostaje.

Dlatego nie należy długo odkładać rozwiązania tego problemu i już teraz należy podjąć niezbędne działania, aby zapewnić bezpieczeństwo danych osobowych.