Zgodność z 152 fz. O kategoriach danych osobowych

1. Osoba, której dane dotyczą, decyduje się na podanie swoich danych osobowych i wyraża zgodę na ich przetwarzanie dobrowolnie, z własnej woli i we własnym interesie. Zgoda na przetwarzanie danych osobowych musi być konkretna, świadoma i świadoma. Zgoda na przetwarzanie danych osobowych może zostać wyrażona przez podmiot danych osobowych lub jego przedstawiciela w dowolnej formie umożliwiającej potwierdzenie faktu ich otrzymania, chyba że prawo federalne stanowi inaczej. W przypadku uzyskania zgody na przetwarzanie danych osobowych od przedstawiciela podmiotu danych osobowych, uprawnienia tego przedstawiciela do wyrażenia zgody w imieniu podmiotu danych osobowych są weryfikowane przez operatora.

2. Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez podmiot danych osobowych. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie danych osobowych, operator ma prawo kontynuować przetwarzanie danych osobowych bez zgody podmiotu danych osobowych, jeżeli zachodzą podstawy określone w art. 6 ust. 2 – 11 części 1 , część 2 artykułu 10 i część 2 artykułu 11 niniejszej ustawy federalnej.

3. Obowiązek przedstawienia dowodu uzyskania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych lub dowodu istnienia podstaw określonych w art. 6 ust. 2 – 11 części 1, art. 10 ust. 2 oraz część 2 artykułu 11 tej ustawy federalnej należy do operatora.

4. W przypadkach przewidzianych przez prawo federalne przetwarzanie danych osobowych odbywa się wyłącznie za zgodą na piśmie przedmiot danych osobowych. Odpowiednik zawierający odręczny podpis przedmiotem zgody na przetwarzanie danych osobowych w formie pisemnej na papierze zgoda jest rozpoznawana w formularzu dokument elektroniczny podpisane zgodnie z prawem federalnym podpis elektroniczny. Pisemna zgoda osoby, której dane osobowe są przetwarzane, musi zawierać w szczególności:

1) nazwisko, imię, patronimik, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu oraz organ wydający;

2) nazwisko, imię, patronimik, adres przedstawiciela podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym, dane dotyczące uprawnień pełnomocnik lub inny dokument potwierdzający uprawnienia tego przedstawiciela (po uzyskaniu zgody przedstawiciela podmiotu danych osobowych);

3) imię lub nazwisko, imię, patronimikę i adres podmiotu otrzymującego zgodę podmiotu danych osobowych;

4) cel przetwarzania danych osobowych;

5) wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;

6) imię lub nazwisko, imię, patronimikę i adres osoby przetwarzającej dane osobowe w imieniu operatora, jeżeli przetwarzanie będzie powierzone takiej osobie;

7) wykaz działań na danych osobowych, na które wyrażana jest zgoda, opis ogólny sposoby stosowane przez operatora przy przetwarzaniu danych osobowych;

8) okres obowiązywania zgody podmiotu danych osobowych oraz sposób jej wycofania, chyba że prawo federalne stanowi inaczej;

9) podpis podmiotu danych osobowych.

5. Procedura uzyskania w formie dokumentu elektronicznego zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych w celu zapewnienia państwu i usługi komunalne, a także usługi niezbędne i obowiązkowe do świadczenia usług państwowych i komunalnych, ustanawia rząd Federacja Rosyjska.

6. W przypadku niezdolności podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyraża przedstawiciel ustawowy podmiotu danych osobowych.

7. W przypadku śmierci podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyrażają spadkobiercy podmiotu danych osobowych, jeżeli podmiot danych osobowych takiej zgody nie wyraził za życia .

8. Operator może pozyskać dane osobowe od osoby niebędącej podmiotem danych osobowych, pod warunkiem przedstawienia operatorowi potwierdzenia o istnieniu podstaw określonych w ust. 2 – 11 części 1 art. 6 ust. 2 artykułu 10 i część 2 artykułu 11 niniejszej ustawy federalnej.

Artykuł 1. Zakres niniejszej ustawy federalnej

1. Niniejsza ustawa federalna reguluje stosunki związane z przetwarzaniem danych osobowych przez organy federalne władza państwowa, organy rządowe podmiotów Federacji Rosyjskiej, inne organy rządowe (zwane dalej organy rządowe), narządy samorząd lokalny, organy gmin nieobjęte systemem organów samorządu terytorialnego (zwane dalej władze miejskie), osoby prawne, osoby fizyczne korzystające z narzędzi automatyzacji lub nie korzystające z takich narzędzi, jeżeli przetwarzanie danych osobowych bez użycia takich narzędzi odpowiada charakterowi działań (operacji) dokonywanych na danych osobowych przy użyciu narzędzi automatyzacji.

2. Niniejsza ustawa federalna nie ma zastosowania do stosunków powstałych, gdy:

1) przetwarzanie danych osobowych przez osoby fizyczne wyłącznie w celach osobistych i potrzeby rodziny jeżeli nie zostaną naruszone prawa osób, których dane dotyczą;

2) organizowanie przechowywania, pozyskiwania, utrwalania i wykorzystywania dokumentów zawierających dane osobowe Fundusz archiwalny Federacja Rosyjska i inne dokumenty archiwalne zgodnie z przepisami dot sprawy archiwalne w Federacji Rosyjskiej;

3) przetwarzanie należy uwzględnić w jednym rejestr państwowy indywidualni przedsiębiorcy informacje o osobach fizycznych, jeżeli takie przetwarzanie odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w związku z działalnością osoby fizycznej jako indywidualnego przedsiębiorcy;

4) przetwarzanie danych osobowych zawartych w w przepisany sposób do informacji stanowiących tajemnicę państwową.

Artykuł 2. Cel niniejszej ustawy federalnej

Celem tej ustawy federalnej jest zapewnienie ochrony praw i wolności człowieka i obywatela podczas przetwarzania jego danych osobowych, w tym ochrony prawa do prywatności, tajemnic osobistych i rodzinnych.

Artykuł 3. Podstawowe pojęcia stosowane w niniejszej ustawie federalnej

Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:

1) dane osobowe – wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie tych informacji (przedmiotu danych osobowych), w tym jej nazwisko, imię, patronimikę, rok, miesiąc, datę i miejsce urodzenia, adres, rodzinę , towarzyski, stan majątkowy, wykształcenie, zawód, dochód, inne informacje;

2) operator – organ państwowy, organ gminny, prawny lub indywidualny osoby organizujące i (lub) dokonujące przetwarzania danych osobowych, a także ustalające cele i treść przetwarzania danych osobowych;

3) przetwarzanie danych osobowych – czynności (operacje) na danych osobowych, w tym gromadzenie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie danych osobowych;

4) rozpowszechnianie danych osobowych – działania mające na celu przekazanie danych osobowych określonemu kręgowi osób (przekazanie danych osobowych) lub zapoznanie się z danymi osobowymi nieograniczonej liczby osób, w tym publikacja danych osobowych w środkach masowego przekazu środki masowego przekazu zamieszczanie w sieciach informacyjnych i telekomunikacyjnych lub udostępnianie danych osobowych w inny sposób;

5) wykorzystanie danych osobowych – czynności (operacje) na danych osobowych dokonywane przez Operatora w celu podejmowania decyzji lub wykonywania innych czynności generujących konsekwencje prawne w stosunku do podmiotu danych osobowych lub innych osób lub w inny sposób wpływający na prawa i wolności podmiotu danych osobowych lub innych osób;

6) blokowanie danych osobowych – czasowe zaprzestanie gromadzenia, systematyzacji, gromadzenia, wykorzystywania, rozpowszechniania danych osobowych, w tym ich przekazywania;

7) zniszczenie danych osobowych – działania, w wyniku których nie jest możliwe przywrócenie treści danych osobowych w systemie informatycznym danych osobowych lub w wyniku których ulegają one zniszczeniu media materialne dane osobowe;

8) depersonalizacja danych osobowych – działania, w wyniku których niemożliwe jest ustalenie własności danych osobowych przez konkretny podmiot danych osobowych;

9) system informacyjny danych osobowych – system informacyjny stanowiący zbiór danych osobowych zawartych w bazie danych, a także technologia informacyjna oraz środki techniczne umożliwiające przetwarzanie takich danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez użycia takich narzędzi;

10) poufność danych osobowych – obowiązkowy wymóg, aby operator lub inna osoba mająca dostęp do danych osobowych nie dopuściła do ich rozpowszechniania bez zgody podmiotu danych osobowych lub istnienia innej podstawy prawnej;

11) transgraniczne przekazywanie danych osobowych – przekazywanie danych osobowych przez operatora za pośrednictwem Granica państwowa Federacji Rosyjskiej organowi państwa obcego, osobie fizycznej lub prawnej państwa obcego;

12) publicznie dostępne dane osobowe – dane osobowe, do których dostęp ma nieograniczona liczba osób za zgodą podmiotu danych osobowych lub które zgodnie z przepisami federalnymi nie podlegają wymogom zachowania poufności.

Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w dziedzinie danych osobowych

1. Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych opiera się na Konstytucji Federacji Rosyjskiej oraz umowach międzynarodowych Federacji Rosyjskiej i składa się z niniejszej ustawy federalnej oraz innych ustaw federalnych określających przypadki i cechy przetwarzania danych osobowych .

2. Na podstawie i w wykonaniu ustaw federalnych organy państwowe, w granicach swoich uprawnień, mogą uchwalać regulacyjne akty prawne dotyczące indywidualne kwestie w sprawie przetwarzania danych osobowych. Regulacyjne akty prawne dotyczące niektórych zagadnień związanych z przetwarzaniem danych osobowych nie mogą zawierać przepisów ograniczających prawa podmiotów danych osobowych.

Podlegają określonym normatywnym aktom prawnym oficjalna publikacja, z wyjątkiem regulacyjnych aktów prawnych lub postanowienia indywidualne takie regulacyjne akty prawne zawierające informacje, do których dostęp jest ograniczony przez prawo federalne.

3. Funkcje przetwarzania danych osobowych bez użycia narzędzi automatyzacji mogą określać ustawy federalne i inne przepisy akty prawne Federacji Rosyjskiej, z uwzględnieniem przepisów niniejszej ustawy federalnej.

4. Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia inne zasady niż przewidziane w niniejszej ustawie federalnej, stosuje się zasady umowy międzynarodowej.

Rozdział 2. Zasady i warunki przetwarzania danych osobowych

Artykuł 5. Zasady przetwarzania danych osobowych

1. Przetwarzanie danych osobowych musi odbywać się w oparciu o zasady:

1) legalność celów i sposobów przetwarzania danych osobowych oraz integralność;

2) zgodność celów przetwarzania danych osobowych z celami z góry określonymi i podanymi przy zbieraniu danych osobowych oraz z uprawnieniami operatora;

3) zgodność z ilością i charakterem przetwarzanych danych osobowych, sposobami przetwarzania danych osobowych w celach przetwarzania danych osobowych;

4) wiarygodność danych osobowych, ich wystarczalność do celów przetwarzania, niedopuszczalność przetwarzania danych osobowych w nadmiernej ilości w stosunku do celów, jakie przy zbieraniu danych osobowych;

5) niedopuszczalność łączenia baz danych systemów informatycznych danych osobowych stworzonych dla niezgodnych celów.

2. Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację podmiotu danych osobowych przez okres nie dłuższy niż wynika to z celów ich przetwarzania i podlegają zniszczeniu po osiągnięciu celów przetwarzania lub w przypadku utraty potrzeby ich osiągania.

Artykuł 6. Warunki przetwarzania danych osobowych

1. Przetwarzanie danych osobowych może odbywać się przez Operatora za zgodą podmiotów danych osobowych, z wyjątkiem przypadków przewidzianych tego artykułu.

2. Zgoda podmiotu danych osobowych, o której mowa w niniejszym artykule, nie jest wymagana w następujących przypadkach:

1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;

2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;

3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych ważnych celów ważne interesy podmiot danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

5) przetwarzanie danych osobowych jest niezbędne do realizacji dostawy przesyłki pocztowe organizacjom pocztowym, dla operatorów telekomunikacyjnych w celu dokonywania rozliczeń z użytkownikami usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także rozpatrywania roszczeń użytkowników usług komunikacyjnych;

6) przetwarzanie danych osobowych odbywa się w celu działalność zawodowa dziennikarza lub w celach naukowych, literackich lub innych działalność twórcza pod warunkiem nienaruszenia praw i wolności osoby, której dane dotyczą;

7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami federalnymi, w tym dane osobowe osób zastępujących stanowiska rządowe, stanowiska rządowe służba cywilna, dane osobowe kandydatów na wybieralne stanowiska państwowe lub samorządowe.

3. Cechy przetwarzania specjalnych kategorii danych osobowych, a także biometrycznych danych osobowych ustala się zgodnie z niniejszą ustawą federalną.

4. Jeżeli operator na podstawie umowy powierza przetwarzanie danych osobowych innej osobie, warunek zasadniczy umową jest obowiązek określonej osoby do zapewnienia poufności danych osobowych i bezpieczeństwa danych osobowych podczas ich przetwarzania.

Artykuł 7. Poufność danych osobowych

1. Operatorzy oraz osoby trzecie uzyskujące dostęp do danych osobowych są obowiązani zapewnić poufność tych danych, z wyjątkiem przypadków przewidzianych w niniejszym artykule.

2. Zapewnienie poufności danych osobowych nie jest wymagane:

1) w przypadku depersonalizacji danych osobowych;

2) w odniesieniu do publicznie dostępnych danych osobowych.

Artykuł 8. Publicznie dostępne źródła danych osobowych

1. Do celów wsparcie informacyjne mogą być tworzone publicznie dostępne źródła danych osobowych (m.in. katalogi, książki adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimikę, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe przekazane przez podmiot danych osobowych.

2. Informacje o przedmiocie danych osobowych mogą zostać w każdej chwili usunięte z publicznie dostępnych źródeł danych osobowych na żądanie podmiotu danych osobowych lub na mocy orzeczenia sądu lub innego uprawnionego organu państwowego.

Art. 9. Zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych

1. Podmiot danych osobowych decyduje się na podanie swoich danych osobowych oraz wyraża zgodę na ich przetwarzanie zgodnie z własną wolą i we własnym interesie, z wyjątkiem przypadków przewidzianych w niniejszym artykule. Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez podmiot danych osobowych.

2. Niniejsza ustawa federalna i inne ustawy federalne regulują przypadki przepis obowiązkowy podmiot danych osobowych swoich danych osobowych w celu ochrony podstaw podstawowych porządek konstytucyjny, moralność, zdrowie, prawa i uzasadnione interesy inne osoby zapewniające obronność i bezpieczeństwo państwa.

3. Obowiązek przedstawienia dowodu uzyskania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych obowiązek udowodnienia, że ​​przetwarzane dane osobowe są publicznie dostępne, spoczywa na operatora.

4. W przypadkach przewidzianych w niniejszej ustawie federalnej przetwarzanie danych osobowych odbywa się wyłącznie za pisemną zgodą podmiotu danych osobowych. Pisemna zgoda przedmiotem przetwarzania jego danych osobowych musi być:

1) nazwisko, imię, patronimik, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym;

2) imię i nazwisko (nazwisko, imię, nazwisko rodowe) i adres podmiotu otrzymującego zgodę podmiotu danych osobowych;

3) cel przetwarzania danych osobowych;

4) wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;

5) wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów stosowanych przez operatora przetwarzania danych osobowych;

6) okres ważności zgody i tryb jej wycofania.

5. Do przetwarzania danych osobowych zawartych w pisemnej zgodzie podmiotu na przetwarzanie jego danych osobowych nie jest wymagana dodatkowa zgoda.

6. W przypadku braku zdolności podmiotu danych osobowych, zgodę na przetwarzanie jego danych osobowych wyraża w formie pisemnej przedstawiciel ustawowy podmiotu danych osobowych.

7. W przypadku śmierci podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyrażają pisemnie spadkobiercy podmiotu danych osobowych, jeżeli podmiot danych osobowych takiej zgody nie wyraził w trakcie jego życie.

Artykuł 10. Szczególne kategorie danych osobowych

1. Przetwarzanie szczególnych kategorii danych osobowych związanych z rasą, narodowością, poglądy polityczne, przekonania religijne lub filozoficzne, stan zdrowia, życie intymne, jest niedozwolone, z wyjątkiem przypadków przewidzianych w tym artykule.

2. Przetwarzanie szczególnych kategorii danych osobowych określonych w tym artykule jest dozwolone w przypadkach, gdy:

1) podmiot danych osobowych wyraził pisemną zgodę na przetwarzanie swoich danych osobowych;

2) dane osobowe są publicznie dostępne;

3) dane osobowe dotyczą stanu zdrowia podmiotu danych osobowych i ich przetwarzanie jest niezbędne do ochrony jego życia, zdrowia lub innych żywotnych interesów albo życia, zdrowia lub innych żywotnych interesów innych osób oraz uzyskania zgody podmiotu danych osobowych jest niemożliwe;

4) przetwarzanie danych osobowych odbywa się w celach leczniczych i profilaktycznych, w celu postawienia diagnozy lekarskiej, świadczenia usług medycznych, medycznych i socjalnych, pod warunkiem że przetwarzania danych osobowych dokonuje osoba zawodowo zajmująca się działalnością działalność medyczną i zobowiązany zgodnie z ustawodawstwem Federacji Rosyjskiej do zachowania tajemnicy lekarskiej;

5) przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej odbywa się przez właściwy organ stowarzyszenie publiczne Lub organizacja religijna, działając zgodnie z ustawodawstwem Federacji Rosyjskiej, w celu osiągnięcia uzasadnionych celów przewidzianych przez ich dokumenty założycielskie pod warunkiem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

6) przetwarzanie danych osobowych jest niezbędne w związku z sprawowaniem wymiaru sprawiedliwości;

7) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej.

3. Przetwarzania danych osobowych znajdujących się w rejestrze karnym mogą dokonywać organy państwowe lub samorządowe w zakresie uprawnień przyznanych im zgodnie z ustawodawstwem Federacji Rosyjskiej, a także inne osoby w przypadkach i w sposób określony w art. zgodnie z prawem federalnym.

4. Przetwarzanie szczególnych kategorii danych osobowych w przypadkach przewidzianych w niniejszym artykule należy natychmiast przerwać, jeżeli ustaną przyczyny, dla których dokonano przetwarzania.

Artykuł 11. Biometryczne dane osobowe

1. Informacje charakteryzujące cechy fizjologiczne osoby i na podstawie których można ustalić jej tożsamość (biometryczne dane osobowe) mogą być przetwarzane wyłącznie za pisemną zgodą podmiotu danych osobowych, z wyjątkiem przypadków przewidzianych w niniejszym artykule .

2. Przetwarzanie biometrycznych danych osobowych może odbywać się bez zgody podmiotu danych osobowych w związku z wymiarem sprawiedliwości, a także w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej dotyczące bezpieczeństwa, ustawodawstwo Federacji Rosyjskiej Federacja w sprawie działań operacyjno-rozpoznawczych, ustawodawstwo Federacji Rosyjskiej ws służba publiczna, ustawodawstwo karno-wykonawcze Federacji Rosyjskiej, ustawodawstwo Federacji Rosyjskiej dotyczące trybu opuszczania Federacji Rosyjskiej i wjazdu do Federacji Rosyjskiej.

Artykuł 12. Transgraniczne przekazywanie danych osobowych

1. Przed rozpoczęciem transgranicznego przekazywania danych osobowych operator ma obowiązek upewnić się, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, zapewnia odpowiednią ochronę praw podmiotów danych osobowych.

2. Transgraniczne przekazywanie danych osobowych na terytorium obce kraje, zapewniające odpowiednią ochronę praw osób, których dane dotyczą, jest realizowane zgodnie z niniejszą ustawą federalną i może być zabronione lub ograniczone w celu ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, moralności, zdrowia, praw i uzasadnionych interesów obywateli, zapewniając obronę kraju i bezpieczeństwo państwa.

3. Transgraniczne przekazywanie danych osobowych na terytorium obcych państw, które nie zapewniają odpowiedniej ochrony praw osób, których dane dotyczą, może nastąpić w następujących przypadkach:

1) obecność pisemnej zgody podmiotu danych osobowych;

2) zapewnione traktaty międzynarodowe Federacji Rosyjskiej w kwestiach wydawania wiz, a także umów międzynarodowych Federacji Rosyjskiej w sprawie świadczenia pomoc prawna w sprawach cywilnych, rodzinnych i karnych;

3) przewidziane w ustawach federalnych, jeżeli jest to konieczne dla ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, zapewnienia obronności kraju i bezpieczeństwa państwa;

4) wykonania umowy, której stroną jest podmiot danych osobowych;

5) ochrona życia, zdrowia i innych żywotnych interesów podmiotu danych osobowych lub innych osób, jeżeli nie jest możliwe uzyskanie pisemnej zgody podmiotu danych osobowych.

Artykuł 13. Cechy przetwarzania danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych

1. Organy państwowe, organy gmin tworzą, w granicach swoich uprawnień ustanowionych zgodnie z ustawami federalnymi, stanowe lub gminne systemy informacyjne dane osobowe.

2. Ustawy federalne mogą ustanawiać funkcje rejestrowania danych osobowych w stanowych i gminnych systemach informatycznych danych osobowych, w tym ich wykorzystywanie na różne sposoby oznaczenie własności danych osobowych zawartych w odpowiednim państwowym lub gminnym systemie informacji osobowej konkretnemu podmiotowi danych osobowych.

3. Prawa i wolności człowieka i obywatela nie mogą być ograniczone z przyczyn związanych ze stosowaniem różnych sposobów przetwarzania danych osobowych lub z wyznaczeniem własności danych osobowych zawartych w państwowych lub gminnych systemach teleinformatycznych danych osobowych na określony podmiot danych osobowych. dane. Niedozwolone jest używanie słów obraźliwych i poniżających godność człowieka sposoby wskazania własności danych osobowych zawartych w państwowych lub gminnych systemach informatycznych danych osobowych konkretnemu podmiotowi danych osobowych.

4. W celu zapewnienia realizacji praw osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych, rejestr państwowy populacja, stan prawny które i procedurę pracy z którymi określa prawo federalne.

Rozdział 3. Prawa podmiotu danych osobowych

Artykuł 14. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych

1. Podmiot danych osobowych ma prawo otrzymać informację o operatorze, jego lokalizacji, czy operator posiada dane osobowe związane z przedmiotem danych osobowych, a także zapoznać się z tymi danymi osobowymi, z wyjątkiem przypadków przewidziane w tym artykule. Podmiot danych osobowych ma prawo żądać od operatora wyjaśnienia swoich danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, nierzetelne, uzyskane nielegalnie lub nie są niezbędne do podanego celu przetwarzania, a także jako zaakceptować przewidziane przez prawośrodki mające na celu ochronę Twoich praw.

2. Informację o dostępności danych osobowych musi przekazać podmiotowi danych osobowych operator w przystępna forma i nie powinny zawierać danych osobowych dotyczących innych podmiotów danych osobowych.

3. Dostęp do Twoich danych osobowych podmiot danych osobowych lub jego przedstawiciel ustawowy zapewnia operator w trakcie kontaktu lub po otrzymaniu żądania podmiotu danych osobowych lub jego przedstawiciel prawny. Żądanie musi zawierać numer głównego dokumentu identyfikującego podmiot danych osobowych lub jego przedstawiciela prawnego, informację o dacie wystawienia określonego dokumentu i organu wydającego oraz własnoręczny podpis podmiotu danych osobowych lub jego przedstawiciela prawnego. Zapytanie można wysłać na adres forma elektroniczna i podpisany elektronicznie podpis cyfrowy zgodnie z ustawodawstwem Federacji Rosyjskiej.

4. Osoba, której dane dotyczą, ma prawo otrzymać w trakcie składania wniosku lub otrzymania żądania informację dotyczącą przetwarzania jej danych osobowych, zawierającą:

1) potwierdzenie faktu przetwarzania danych osobowych przez operatora oraz celu tego przetwarzania;

2) sposoby przetwarzania danych osobowych stosowane przez operatora;

3) informacje o osobach, które mają dostęp do danych osobowych lub mogą uzyskać taki dostęp;

4) wykaz przetwarzanych danych osobowych oraz źródło ich otrzymania;

5) zasady przetwarzania danych osobowych, w tym okresy ich przechowywania;

6) informację, jakie skutki prawne dla podmiotu danych osobowych może wiązać się z przetwarzaniem jego danych osobowych.

5. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych jest ograniczone w przypadku, gdy:

1) przetwarzanie danych osobowych, w tym danych osobowych uzyskanych w wyniku operacyjnej działalności dochodzeniowo-śledczej, kontrwywiadu i wywiadu, odbywa się na potrzeby obronności państwa, bezpieczeństwa państwa oraz egzekwowania prawa;

2) przetwarzanie danych osobowych odbywa się przez organy, które zatrzymały podmiot danych osobowych w związku z podejrzeniem popełnienia przestępstwa lub postawiły podmiotowi danych osobowych zarzut w sprawie karnej lub zastosowały wobec podmiotu środek zapobiegawczy dane przed postawieniem zarzutów, z wyjątkiem przypadków przewidzianych w przepisach postępowania karnego Federacji Rosyjskiej, w których podejrzany lub oskarżony może zapoznać się z takimi danymi osobowymi;

3) podanie danych osobowych narusza prawa konstytucyjne i wolności innych.

Artykuł 15. Prawa osób, których dane osobowe przetwarzają w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej

1. Przetwarzanie danych osobowych w celu promocji towarów, robót, usług na rynku poprzez nawiązywanie bezpośrednich kontaktów z potencjalnymi konsumentami za pomocą środków komunikacji, a także w celach propagandy politycznej, jest dozwolone wyłącznie za uprzednią zgodą przedmiot danych osobowych. Określone przetwarzanie danych osobowych uznaje się za dokonane bez uprzedniej zgody podmiotu danych osobowych, chyba że operator udowodni, że taką zgodę uzyskał.

2. Operator ma obowiązek niezwłocznie zaprzestać, na żądanie osoby, której dane dotyczą, przetwarzania jej danych osobowych określonego w niniejszym artykule.

Artykuł 16. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji wyłącznie na podstawie automatyczne przetwarzanie ich dane osobowe

1. Zabrania się podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszających jego prawa i uzasadnione interesy, z wyjątkiem przypadków przewidzianych w niniejszym artykule.

2. Decyzja wywołująca skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób wpływająca na jego prawa i uzasadnione interesy może zostać podjęta na podstawie wyłącznie zautomatyzowanego przetwarzania jego danych osobowych wyłącznie za pisemną zgodą podmiotu danych osobowych lub w przypadkach przewidzianych przez przepisy federalne, które ustanawiają również środki zapewniające poszanowanie praw i uzasadnionych interesów podmiotu danych osobowych.

3. Operator ma obowiązek wyjaśnić osobie, której dane dotyczą, sposób podjęcia decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu jego danych osobowych oraz ewentualnych skutkach prawnych takiej decyzji, zapewnić możliwość wniesienia sprzeciwu od takiej decyzji, a także wyjaśnić procedurę obowiązującą osobę, której dane dotyczą, w celu ochrony jej praw i uzasadnionych interesów.

4. Operator ma obowiązek rozpatrzyć sprzeciw, o którym mowa w niniejszym artykule, w terminie siedmiu dni roboczych od dnia jego otrzymania i powiadomić podmiot danych osobowych o wynikach rozpatrzenia takiego sprzeciwu.

Artykuł 17. Prawo do skargi na działania lub zaniechania operatora

1. Jeżeli podmiot danych osobowych uważa, że ​​operator przetwarza jego dane osobowe z naruszeniem wymogów niniejszej ustawy federalnej lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo odwołać się od działań lub bierności podmiotu operator w uprawniony organ w celu ochrony praw osób, których dane dotyczą, lub przed sądem.

2. Podmiot danych osobowych ma prawo do ochrony swoich praw i uzasadnionych interesów, w tym odszkodowania za straty i (lub) odszkodowania szkody moralne w sądzie.

Rozdział 4. Obowiązki Operatora

Artykuł 18. Obowiązki operatora przy zbieraniu danych osobowych

1. Zbierając dane osobowe, operator jest zobowiązany do udzielenia podmiotowi danych osobowych, na jego żądanie, informacji przewidzianych w niniejszej ustawie federalnej.

2. Jeżeli obowiązek podania danych osobowych przewiduje prawo federalne, operator ma obowiązek wyjaśnić podmiotowi danych osobowych skutki prawne odmowy udostępnienia jego danych osobowych.

3. Jeżeli od podmiotu danych osobowych nie otrzymano danych osobowych, z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub gdy dane osobowe są publicznie dostępne, operator przed przetwarzaniem tych danych osobowych jest zobowiązany do przekazania podmiotowi danych osobowych następujących informacji:

1) nazwę (nazwisko, imię, nazwisko rodowe) i adres operatora lub jego przedstawiciela;

2) cel przetwarzania danych osobowych i jego podstawa prawna;

3) zamierzeni użytkownicy danych osobowych;

4) prawa podmiotu danych osobowych określone w niniejszej ustawie federalnej.

Art. 19. Środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania

1. Operator podczas przetwarzania danych osobowych obowiązany jest podjąć niezbędne środki organizacyjne i techniczne, w tym stosowanie środków szyfrujących (kryptograficznych), zabezpieczające dane osobowe przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechniania danych osobowych, a także od innych osób złe prowadzenie się.

2. Rząd Federacji Rosyjskiej ustanawia wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologie przechowywania takich danych poza systemami informacji o danych osobowych.

3. Kontrola i nadzór nad spełnianiem wymagań, ustanowiony przez Rząd Federacji Rosyjskiej zgodnie z niniejszym artykułem, przeprowadzane są przez organ federalny władza wykonawcza, upoważniony w dziedzinie bezpieczeństwa, oraz federalny organ wykonawczy upoważniony w dziedzinie zwalczania wywiadu technicznego i zabezpieczenie techniczne informacji, w granicach swoich uprawnień i bez prawa zapoznania się z danymi osobowymi przetwarzanymi w systemach informatycznych danych osobowych.

4. Wykorzystywanie i przechowywanie biometrycznych danych osobowych poza systemami teleinformatycznymi danych osobowych może odbywać się wyłącznie na takich materialnych nośnikach i przy użyciu takich technologii przechowywania, które zapewniają ochronę tych danych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, blokowanie, kopiowanie, rozpowszechnianie.

Art. 20. Obowiązki operatora przy składaniu lub otrzymywaniu wniosku od podmiotu danych osobowych lub jego przedstawiciela ustawowego, a także organu uprawnionego do ochrony praw podmiotów danych osobowych

1. Operator jest zobowiązany, w sposób przewidziany w niniejszej ustawie federalnej, poinformować podmiot danych osobowych lub informacje jego przedstawiciela prawnego o dostępności danych osobowych odnoszących się do odpowiedniego przedmiotu danych osobowych, a także zapewnić możliwość zapoznania się z nimi podczas kontaktu z podmiotem danych osobowych lub jego przedstawicielem ustawowym lub w terminie dziesięciu dni roboczych od dnia otrzymania żądania podmiotu danych osobowych lub jego przedstawiciela ustawowego.

2. W przypadku odmowy udostępnienia podmiotowi danych osobowych lub jego przedstawicielowi prawnemu przy składaniu wniosku lub otrzymaniu żądania od podmiotu danych osobowych lub jego przedstawiciela ustawowego, informacji o dostępności danych osobowych o właściwym podmiocie danych osobowych, o ile a także takich danych osobowych, operator jest zobowiązany do złożenia pisemnego uzasadnienia i odpowiedzi zawierającej odniesienie do przepisu niniejszej ustawy federalnej lub innej ustawy federalnej będącej podstawą takiej odmowy, w terminie nie dłuższym niż siedem dni roboczych od dnia złożenia wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela prawnego albo od dnia otrzymania wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela ustawowego.

3. Operator ma obowiązek nieodpłatnego zapewnienia podmiotowi danych osobowych lub jego przedstawicielowi ustawowemu możliwości zapoznania się z danymi osobowymi dotyczącymi danego podmiotu danych osobowych, a także ich wprowadzenia niezbędne zmiany zniszczyć lub zablokować odpowiednie dane osobowe po dostarczeniu przez podmiot danych osobowych lub jego prawnego przedstawiciela informacji potwierdzającej, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora, są niekompletne, nieaktualne, niewiarygodne , uzyskane nielegalnie lub nie są niezbędne do deklarowanych celów przetwarzania. O wprowadzone zmiany i wcześniej podjęte środki Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela ustawowego oraz osoby trzecie, którym zostały przekazane dane osobowe tego podmiotu.

4. Operator ma obowiązek udzielić uprawnionemu organowi ochrony praw osób, których dane dotyczą, na jego żądanie, informacji niezbędnych do prowadzenia działalności wspomniane ciało, w terminie siedmiu dni roboczych od dnia otrzymania takiego żądania.

Artykuł 21. Obowiązki operatora usunięcia naruszeń prawa popełnionych przy przetwarzaniu danych osobowych oraz wyjaśnienia, zablokowania i zniszczenia danych osobowych

1. W przypadku wykrycia przez Operatora nierzetelnych danych osobowych lub bezprawnych działań z nimi związanych podczas kontaktu lub na żądanie podmiotu danych osobowych lub jego przedstawiciela ustawowego lub organu uprawnionego do ochrony praw podmiotów danych osobowych, Operator ma obowiązek zablokować dane osobowe dotyczące odpowiadającego im przedmiotu danych osobowych, z chwilą złożenia takiego wniosku lub otrzymania takiego żądania, na okres weryfikacji.

2. W przypadku stwierdzenia faktu nierzetelności danych osobowych, operator, na podstawie dokumentów złożonych przez podmiot danych osobowych lub jego przedstawiciela ustawowego lub organ uprawniony do ochrony praw osób, których dane dotyczą, lub inny niezbędne dokumenty zobowiązany jest do wyjaśnienia danych osobowych i usunięcia ich blokady.

3. W przypadku wykrycia nielegalnych działań z danymi osobowymi Operator w terminie nie dłuższym niż trzy dni robocze od dnia wykrycia jest zobowiązany do usunięcia naruszeń. Jeżeli usunięcie popełnionych naruszeń nie będzie możliwe, Operator ma obowiązek zniszczyć dane osobowe w terminie nieprzekraczającym trzech dni roboczych od dnia wykrycia nielegalnych działań z danymi osobowymi. Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela ustawowego o usunięciu naruszeń lub zniszczeniu danych osobowych, a jeżeli odwołanie lub żądanie zostało wysłane przez uprawniony organ w celu ochrony praw osób, których dane dotyczą, także określony organ.

4. Jeżeli cel przetwarzania danych osobowych został osiągnięty, operator ma obowiązek niezwłocznie zaprzestać przetwarzania danych osobowych i zniszczyć odpowiadające im dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia osiągnięcia celu przetwarzania danych osobowych, chyba że określono inaczej przewidziane przez przepisy federalne i powiadomić podmiot danych osobowych o tych danych lub jego przedstawiciela prawnego, a jeżeli odwołanie lub wniosek został przesłany przez uprawniony organ do ochrony praw osób, których dane dotyczą, także wskazany organ.

5. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie swoich danych osobowych, operator ma obowiązek zaprzestać przetwarzania danych osobowych i zniszczyć dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia otrzymania oświadczenia o cofnięciu zgody, chyba że inaczej stanowi umowa pomiędzy operatorem a podmiotem danych osobowych. Operator ma obowiązek powiadomić podmiot danych osobowych o zniszczeniu danych osobowych.

Artykuł 22. Zawiadomienie o przetwarzaniu danych osobowych

1. Operator przed rozpoczęciem przetwarzania danych osobowych ma obowiązek powiadomić organ uprawniony do ochrony praw osób, których dane dotyczą, o swoim zamiarze przetwarzania danych osobowych, z wyjątkiem przypadków przewidzianych w niniejszym artykule.

2. Operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym organu uprawnionego do ochrony praw osób, których dane dotyczą:

1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane i nie są udostępniane osobom trzecim bez zgody podmiotu danych osobowych oraz wykorzystywane przez operatora wyłącznie do celów wykonawczych wspomniane porozumienie oraz zawieranie umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

4) które stanowią publicznie dostępne dane osobowe;

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej, które ustanawiają wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą.

3. Powiadomienie przewidziane w niniejszym artykule musi zostać przesłane w formie pisemnej i podpisane przez osobę upoważnioną lub przesłane w formie elektronicznej i opatrzone elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej. Zawiadomienie musi zawierać następujące informacje:

1) imię i nazwisko (nazwisko, imię, nazwisko rodowe), adres operatora;

2) cel przetwarzania danych osobowych;

5) podstawa prawna przetwarzania danych osobowych;

6) wykaz działań na danych osobowych, ogólny opis sposobów stosowanych przez operatora przetwarzania danych osobowych;

7) opis środków, które operator zobowiązuje się zastosować przy przetwarzaniu danych osobowych, aby zapewnić bezpieczeństwo danych osobowych podczas ich przetwarzania;

8) datę rozpoczęcia przetwarzania danych osobowych;

9) termin lub warunek zaprzestania przetwarzania danych osobowych.

4. Upoważniony organ ochrony praw osób, których dane dotyczą, w terminie trzydziestu dni od dnia otrzymania zawiadomienia o przetwarzaniu danych osobowych, wprowadza informacje określone w tym artykule, a także informację o terminie przesłanie wskazanego zgłoszenia do rejestru przedsiębiorców. Informacje zawarte w rejestrze operatorów, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.

5. Operator nie może zostać obciążony kosztami w związku z rozpatrzeniem zgłoszenia o przetwarzaniu danych osobowych przez uprawniony organ do ochrony praw osób, których dane dotyczą, a także w związku z wpisaniem informacji do rejestru operatorzy.

6. W przypadku dostarczenia niekompletnego lub fałszywe informacje określone w części 3 tego artykułu, uprawniony organ ochrony praw osób, których dane dotyczą, ma prawo żądać od operatora wyjaśnienia podanych informacji przed wpisaniem ich do rejestru operatorów.

7. W przypadku zmiany informacji, o których mowa w niniejszym artykule, operator ma obowiązek powiadomić o zmianach uprawniony organ do spraw ochrony praw osób, których dane dotyczą, w terminie dziesięciu dni roboczych od dnia zaistnienia tych zmian.

Rozdział 5. Kontrola i nadzór nad przetwarzaniem danych osobowych. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej

Art. 23. Organ uprawniony do ochrony praw osób, których dane osobowe dotyczą

1. Organem uprawnionym do ochrony praw podmiotów danych osobowych, któremu powierzono kontrolę i nadzór nad zgodnością przetwarzania danych osobowych z wymogami niniejszej ustawy federalnej, jest federalny organ wykonawczy pełniący funkcje kontrola i nadzór w dziedzinie technologii informatycznych i komunikacji.

2. Uprawniony organ do ochrony praw podmiotów danych osobowych rozpatruje wnioski podmiotu danych osobowych dotyczące zgodności treści danych osobowych i sposobów ich przetwarzania z celami ich przetwarzania i podejmuje odpowiednią decyzję.

3. Upoważniony organ ochrony praw osób, których dane dotyczą, ma prawo:

1) żądania od osób fizycznych lub prawnych informacji niezbędnych do wykonywania ich uprawnień i otrzymywania ich nieodpłatnie;

2) zweryfikować informacje zawarte w zawiadomieniu o przetwarzaniu danych osobowych lub zaangażować w granicach swoich uprawnień inne organy administracji publicznej do przeprowadzenia takiej weryfikacji;

3) żądania od operatora wyjaśnienia, zablokowania lub zniszczenia nieprawidłowych lub uzyskanych nielegalnie danych osobowych;

4) przyjąć ustanowione przez prawo Procedura Federacji Rosyjskiej dotycząca środków zawieszenia lub zakończenia przetwarzania danych osobowych z naruszeniem wymogów niniejszej ustawy federalnej;

5) udać się do sądu z oświadczenia o roszczeniach w celu ochrony praw osób, których dane dotyczą, oraz reprezentowania interesów osób, których dane dotyczą, przed sądem;

6) skierować wniosek do organu wydającego zezwolenia na działalność operatora z wnioskiem o rozważenie podjęcia działań w celu zawieszenia lub unieważnienia odpowiedniej licencji w sposób określony przez ustawodawstwo Federacji Rosyjskiej, jeżeli warunkiem uzyskania zezwolenia na prowadzenie tej działalności jest zakaz przekazywania danych osobowych podmiotom trzecim bez pisemnej zgody podmiotu danych osobowych;

7) przesłać do prokuratury, inne organy ścigania materiały do ​​rozwiązania kwestii wszczynania spraw karnych w oparciu o przestępstwa związane z naruszeniem praw osób, których dane dotyczą, zgodnie z jurysdykcją;

8) przedstawiać Rządowi Federacji Rosyjskiej propozycje ulepszenia przepisów regulacyjnych regulacja prawna ochrona praw osób, których dane osobowe dotyczą;

9) przyciągać odpowiedzialność administracyjna osoby winne naruszenia niniejszej ustawy federalnej.

4. W stosunku do danych osobowych, o których dowiedział się uprawniony organ do ochrony praw osób, których dane dotyczą, w toku swojej działalności, należy zapewnić poufność danych osobowych.

5. Organ uprawniony do ochrony praw osób, których dane dotyczą, jest obowiązany:

1) organizować, zgodnie z wymogami niniejszej ustawy federalnej i innych ustaw federalnych, ochronę praw osób, których dane dotyczą;

2) rozpatrywania skarg i odwołań obywateli lub osób prawnych w sprawach związanych z przetwarzaniem danych osobowych, a także podejmowania decyzji w granicach swoich uprawnień na podstawie wyników rozpatrzenia wspomniane skargi i apelacje;

3) prowadzenia rejestru operatorów;

4) wdrażać działania mające na celu poprawę ochrony praw osób, których dane osobowe dotyczą;

5) przyjąć w sposób określony przez ustawodawstwo Federacji Rosyjskiej po okazaniu organ federalny organ wykonawczy uprawniony w zakresie bezpieczeństwa lub federalny organ wykonawczy uprawniony w zakresie zwalczania wywiadu technicznego i technicznej ochrony informacji, środków zawieszenia lub zakończenia przetwarzania danych osobowych;

6) informowania organów administracji rządowej, a także osób, których dane dotyczą, na ich żądania lub prośby, o stanie rzeczy w zakresie ochrony praw osób, których dane dotyczą;

7) wypełniać inne obowiązki przewidziane w ustawodawstwie Federacji Rosyjskiej.

6. Od decyzji uprawnionego organu ochrony praw osób, których dane dotyczą, przysługuje odwołanie do sądu.

7. Upoważniony organ ochrony praw osób, których dane osobowe dotyczą, corocznie przesyła sprawozdanie ze swojej działalności Prezydentowi Federacji Rosyjskiej, Rządowi Federacji Rosyjskiej oraz Zgromadzenie Federalne Federacja Rosyjska. Niniejszy raport podlega publikacji w mediach.

8. Uprawniony organ ochrony praw osób, których dane osobowe dotyczą, finansowany jest z budżetu federalnego.

9. Pod organem uprawnionym do ochrony praw osób, których dane osobowe dotyczą, tworzony jest w dniu zasady publiczne rada doradcza, której tryb tworzenia i działania ustala uprawniony organ do spraw ochrony praw osób, których dane osobowe dotyczą.

Artykuł 24. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej

Osoby winne naruszenia wymogów niniejszej ustawy federalnej ponoszą kary cywilne, karne, administracyjne, dyscyplinarne i inne. przewidziane przez prawo Odpowiedzialność Federacji Rosyjskiej.

Rozdział 6. Postanowienia końcowe

Artykuł 25. Postanowienia końcowe

1. Prawdziwe Prawo federalne wchodzi w życie sto osiemdziesiąt dni od dnia jego oficjalnej publikacji.

2. Po wejściu w życie niniejszej ustawy federalnej przetwarzanie danych osobowych zawartych w systemach informatycznych danych osobowych przed dniem jej wejścia w życie odbywa się zgodnie z niniejszą ustawą federalną.

3. Systemy informacyjne dotyczące danych osobowych utworzone przed wejściem w życie niniejszej ustawy federalnej muszą zostać dostosowane do wymogów niniejszej ustawy federalnej nie później niż 1 stycznia 2010 r.

4. Operatorzy, którzy przetwarzają dane osobowe przed datą wejścia w życie niniejszej ustawy federalnej i kontynuują takie przetwarzanie po dniu jej wejścia w życie, są zobowiązani przesłać do upoważnionego organu w celu ochrony praw danych osobowych tematy, z wyjątkiem przypadków przewidzianych w niniejszej ustawie federalnej, powiadomienie przewidziane w niniejszej ustawie federalnej nie później niż 1 stycznia 2008 r.

Moskwa, Kreml

Niniejsza ustawa federalna wchodzi w życie sto osiemdziesiąt dni od dnia jej oficjalnej publikacji

Ustawa federalna 152 „O danych osobowych” reguluje wszystkie działania związane z przetwarzaniem danych osobowych. Wzywa się do ochrony praw i wolności każdego obywatela Federacji Rosyjskiej, do ochrony tajemnice rodzinne, osobiste i prywatność każda osoba.

Postanowienia ogólne

Ustawa o danych osobowych 152 reguluje wszystkie stosunki prawne i warunki przetwarzania danych osobowych przez dowolny podmiot, fizyczny lub osoba prawna. Streszczenie Prawo stanowi, że każdy organ lub osoba może zautomatyzować gromadzenie i przetwarzanie danych osobowych, wprowadzać je na nośniki materialne lub do kartoteki i mieć prawo dostępu do nich.

Prawo to można stosować nie tylko wewnątrz władze prawne, ale także w sieciach i organizacjach informatycznych i telekomunikacyjnych. Został przyjęty w dniu 8 lipca 2006 r Duma Państwowa i 14 lipca tego samego roku został zatwierdzony przez Radę Federacji. Składa się z sześciu rozdziałów i 25 artykułów. Najnowsze zmiany zostały dodane do niego w dniu 1 lipca 2017 r.

Struktura prawa:

• W pierwszym rozdziale wyjaśniono istotę prawa, jego cel, podstawowe pojęcia i pojęcia, jakiego obszaru dotyczy i jakiego obszaru dotyczy;
• W drugim rozdziale wyjaśniono zasadę pracy z danymi osobowymi zgodnie z przepisami prawa. Jakich warunków należy przestrzegać, poufności danych użytkownika, jego zgody na przetwarzanie danych, kategorie specjalne itp.;
• Rozdział trzeci opisuje prawa przysługujące podmiotom, których dane są gromadzone i wykorzystywane;
• Rozdział czwarty opisuje obowiązki osób zaangażowanych w gromadzenie, analizę i wykorzystywanie danych. Takie osoby nazywane są operatorami;
• Rozdział piąty mówi o odpowiedzialności operatorów oraz o tym, jak państwo monitoruje wypełnianie obowiązków i przestrzeganie prawa;
• W rozdziale szóstym sformalizowane zostały wszystkie postanowienia dodatkowe i końcowe.

Z każdą zmianą prawa rosną wymagania stawiane organizacjom zbierającym dane osobowe obywateli oraz operatorom.

Cechy wykorzystania danych osobowych zgodnie z ustawą federalną 152

Głównym warunkiem wykorzystania danych osobowych zgodnie z ustawą federalną 152 jest to, że gromadzenie, przetwarzanie i wykorzystywanie musi odbywać się na legalnych i uczciwych podstawach.

Organy, które mogą korzystać z ustawy federalnej 152:

• Organ rządu federalnego;
• Władze miejskie;
• Władze państwowe podmiotów Federacji Rosyjskiej;
• Organy samorządu terytorialnego;
• Inne organy rządowe.

Wykorzystanie danych przez osoby jest dozwolone w następujących przypadkach:

• Uzasadnione i ważne cele użytkowania są z góry określone;
• Dane osobowe są aktualne, kompletne i wystarczające do realizacji zamierzonego celu. Na niewystarczające ilości operator uzupełnia informacje w celu wykonania zadań; jeżeli jest ich za dużo, operator je usuwa;
• Jeżeli informacje zostaną przetworzone i wykorzystane w ustalonych w tym celu terminach. Dane muszą być przechowywane w formie umożliwiającej w każdej chwili identyfikację osoby, której dotyczą. Po osiągnięciu celu operator anonimizuje dane lub usuwa wszelkie informacje.

Opisana ustawa została przyjęta przez Dumę Państwową, a wykorzystywanie danych osobowych przez organy, organizacje i niektóre osoby jest dozwolone przez Rząd Federacji Rosyjskiej.

Jakie poprawki wprowadzono?

Od 2009 roku wprowadzono wiele zmian w ustawie o danych osobowych.

Artykuł nr 3 ostatniej poprawki zawiera listę terminów i definicje tych terminów, artykuł nosi tytuł „Podstawowe pojęcia stosowane w niniejszej ustawie federalnej”. W tekście wyjaśniono, czym są dane osobowe, transgraniczne przekazywanie danych osobowych, kim jest operator, jaki jest system informatyczny danych osobowych, jak i na czym polega przetwarzanie danych, depersonalizacja, automatyzacja, dystrybucja, niszczenie, udostępnianie i blokowanie danych dane osobowe.

W artykule nr 5 ostatnie zmiany wprowadzono 25 lipca 2011 r. za pomocą prawa. Zgodnie z nową wersją artykułu 5 wykorzystywanie i przetwarzanie danych osobowych jest uczciwe i legalne. Wszystkie cele i zadania, dla których zbierane i przetwarzane są informacje, są zgodne z prawem i z góry określone. W najnowsze wydanie Artykuł 5 określa warunki przechowywania tego typu informacji oraz sposób, w jaki operator może je aktualizować i usuwać.

W artykule numer 7 najnowsze poprawki zdefiniowano istotę poufności danych osobowych. Operator nie ma prawa rozpowszechniać go osobom trzecim bez zgody podmiotu.

Wprowadzono także zmiany w artykule nr 9. Nowe wydanie Artykuł ten określa zgodę podmiotu na rozpowszechnianie i przetwarzanie danych osobowych. Zdolny podmiot może zgodzić się na warunki operatora w dowolnej dostępnej mu formie, w tym własne interesy i z wolnej woli. Osoba ma prawo wycofać zgodę.

Pisemna zgoda podmiotu na podanie danych osobowych jest następująca:

• Imię i nazwisko, adres, numer identyfikacyjny paszporty, informacje o dokumentach (data i miejsce) itp.;
• Informacja z pełnomocnictwa w obecności przedstawiciela podmiotu;
• Imię i nazwisko, adres i stanowisko operatora odbierającego dokument;
• Cel, do czego potrzebne są dane podmiotu;
• Zwój dane osobowe z zastrzeżeniem, z którego będzie korzystał operator;
• Lista działań operatora, które wykona za zgodą podmiotu;
• Czas obowiązywania i metody unieważnienia dokumentu;
• Podpis podmiotu i operatora z transkrypcjami.

Wprowadzono także poprawki do artykułu nr 19. Tekst tego wydania mówi o środkach bezpieczeństwa stosowanych w celu ochrony praw i wolności podmiotów. Operator ma obowiązek stosowania wszelkich dostępnych środków zabezpieczających i chroniących dane osobowe przed nieuprawnionym lub przypadkowym dostępem do nich osób trzecich. Aplikacja w toku środki techniczne, kontrola, ustanawianie porządku, ustalanie zasad, rozliczanie, przywracanie i wykrywanie włamań itp. Wymogi ochrony ustala Rząd Federacji Rosyjskiej. Każda organizacja lub organ przyjmuje określoną kartę lub normy prawne, którego postanowienia zobowiązują pracowników do podjęcia określonych działań zapewniających bezpieczeństwo danych osobowych i poufność danych osób.

Pobierz najnowsze wydanie ustawy federalnej 152

Najnowsze wydanie ustawy federalnej nr 152 „O danych osobowych” zostało wydane 29 lipca 2017 r. Ustawa 152 Federalna ustawa o ochronie danych osobowych w najnowszym wydaniu została zmieniona w artykułach 1, 2, 3 i 6.

Aby uchronić się przed penetracją przestrzeni osobistej, chronić własną wolność i prawa, podmiot, którego dane osobowe są wykorzystywane, może przestudiować 152 prawo federalne.

Można pobrać poprawki i wydania ustawy federalnej nr 152 „O danych osobowych”.

W tym artykule postaramy się w sposób jasny i przystępny (no cóż, jeśli to możliwe) wyjaśnić, jak żyć zwykłemu człowiekowi. biznes internetowy w dobie ustawy federalnej nr 152 „O danych osobowych”. Powiemy Ci dokładniej, jak się przed tym uchronić.

Warto więc najpierw pamiętać, że to imię i nazwisko, numer telefonu, adres e-mail, adres i inne dane charakteryzujące konkretną osobę osobisty. I otrzymanie ich, nawet w rezultacie rozmowa telefoniczna, jest ich przetwarzanie. Zatem pod nowym piękne prawo obejmuje działania absolutnie każdej komercyjnej strony internetowej. Hurra, towarzysze.

Czego się bać?

Od 1 lipca 2017 r. W art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej pojawiły się nowe naruszenia przepisów w zakresie danych osobowych (było 1, obecnie 7).
Wysokość kar wzrosła z 10 000 rubli do 290 000 rubli. Maksymalny rozmiar grzywny grożą tym, którzy absolutnie naruszyli wszystkie wymogi określone w ust. 1–6 art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej. Jest to dość trudne, ale o tym poniżej.

Kto zostanie ukarany grzywną?

Operatorzy, czyli osoby przetwarzające i zbierające dane osobowe, zostaną ukarane karami finansowymi. Prosta prośba o podanie nazwiska i numeru telefonu (lub adresu e-mail) jest już przetwarzana.
Aby potwierdzić, że przetwarzasz dane osobowe, Roskomnadzor będzie musiał jedynie zobaczyć formularz na Twojej stronie internetowej informacja zwrotna, subskrypcję newslettera lub możliwość rejestracji konto osobiste. W takich przypadkach podlegasz prawu i możesz podlegać kontroli prywatności.
Właśnie dlatego stworzyliśmy Defender na podstawie ustawy federalnej nr 152.

Jesteśmy klientami Callibri.ru, jak być legalnym?

Obrońca przed ustawą federalną 152 - system generowania dokumentów, aby zarówno Twoja, jak i nasza firma działały w pełnej zgodności z wymogami ustawy federalnej N 152.

Oto, co musisz zrobić:

Oto jak to wygląda:

Ważny!

To wszystko? Teraz nie będę trzymać się 290 TR?

Nie bardzo. Obrońca działa tylko wtedy, gdy:

• sposoby zbierania danych nie różnią się od tych, które wybrałeś w ustawieniach;
• cele zbierania danych nie różnią się od tych, które wybrałeś w ustawieniach;
• nie korzystasz z usług innych niż Callibri.ru do gromadzenia i przetwarzania.

We wszystkich innych przypadkach możesz mieć problemy. O nich poniżej.

Korzystam z innych usług zbierających dane osobowe. Jak być legalnym?

Usuń wszystko do cholery. Nie możemy ponosić odpowiedzialności za zgodność innych usług z wymogami ustawy federalnej nr 152 „O danych osobowych”. Dobrze, że w naszym portfolio jest wszystko, czego potrzebujesz: śledzenie połączeń, oddzwaniać, rozmowa online, aplikacja i konsultant online.
Połącz Callibri

Ale jeśli naprawdę chcesz skorzystać z innych usług i/lub swoich celów i/lub metod przetwarzania danych osobowych różnić się z tych zaproponowanych przez Callibri.ru, wówczas będziesz musiał pozyskać konsultantów zewnętrznych, aby opracowali Twoje dokumenty dotyczące przetwarzania danych osobowych, wdrożyli je i czekali na kontrolę Roskomnadzor i kary na podstawie jej wyników. A to aż 290 tr.

Przed czym dokładnie uratuje Obrońca?

Po pierwsze, Twoja witryna internetowa będzie spełniać wszystkie wymogi prawne (klauzula 2 część 2, artykuł 5, część 1, część 2, artykuł 18.1 ustawy federalnej nr 152 „O danych osobowych”). Zmniejsza to znacząco ryzyko wszczęcia audytu i zwiększa Twoją wiarygodność w oczach klientów. Po drugie, Roskomnadzor nie będzie miał powodu:

• Kara do 30 000 rubli. za niezapewnienie nieograniczonego dostępu do Polityki (część 3 art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej).
  Na przykład: Kara za brak Polityki na stronie internetowej.
• Kara do 50 000 rubli. za przetwarzanie danych osobowych niezgodne z celami ich gromadzenia.
  Na przykład: dostarczasz towary i prosisz o skan paszportu, podczas gdy do dostawy potrzebujesz jedynie swojego pełnego imienia i nazwiska oraz adresu.

Czy powiadomisz o nas Roskomnadzor w naszym imieniu?

Nie, nie powiadomimy Cię. Nie jest to konieczne. Niech Bóg błogosławi. Na razie.

Dlaczego nie trzeba powiadamiać Roskomnadzoru?

Zgodnie z częścią 2 art. 22 ustawy federalnej nr 152, w niektórych przypadkach operator ma prawo przetwarzać dane osobowe bez powiadamiania Roskomnadzor. Nie wymienimy ich wszystkich, ale najważniejsze z nich to:
Otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i wykorzystywane są wyłącznie przez Operatora w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;
Te. jeśli dane osobowe, które gromadzisz i przetwarzasz

• nie są udostępniane podmiotom trzecim bez zgody podmiotu danych osobowych;
• wykorzystywane są wyłącznie w celu wykonania umowy w związku z zawarciem której zostały otrzymane oraz zawarcia umowy z podmiotem danych osobowych;

Powiadamianie Roskomnadzoru nie jest konieczne!

A wielu twierdzi, że jest to konieczne...

Prawo budzi kontrowersje, pojawia się wiele opinii, interpretacji i spekulacji nieuczciwi prawnicy na ten temat. A praktyka sądowa Jeszcze nie. Pamiętaj więc: globalnie masz 3 opcje

1. Bądź całkowicie nielegalny. Nie mamy tu o czym rozmawiać. Ryzyko jest znacznie wyższe niż opisano w tym artykule;
2. Pracuj legalnie, dzięki dokumentom od Callibri. Ale nie powiadamiaj Roskomnadzoru;
3. Pracuj legalnie i powiadom Roskomnadzor oraz figuruj w rejestrze operatorów danych osobowych.

Polecamy opcję 2, ponieważ... w tym przypadku Twój czas i wysiłek wyniosą 30 minut (aby przeczytać ten artykuł, wypełnij formularz i podpisz zamówienie). A maksymalna kara, jeśli Roskomnadzorowi coś się nie podoba (to znaczy z powodu braku powiadomienia), będzie 5 tysięcy rubli (dla osób prawnych).
W trzeciej opcji będziesz potrzebować więcej wysiłku i pieniędzy oraz prawdopodobieństwa planowana kontrola znacznie wzrośnie.
Dlatego wierzymy, że dla większości przedsiębiorstw ochrona naszego projektanta na mocy ustawy federalnej N 152 będzie wystarczająca.

Czy musimy ostrzegać wszystkich odwiedzających o przetwarzaniu plików cookie?

Tutaj jak zawsze dwóch prawników - trzy opinie. Nasi prawnicy uważają, że informacje zawarte w plikach cookies same w sobie nie stanowią danych osobowych, w oderwaniu od innych informacji o użytkowniku. Krążą pogłoski, że Roskomnadzor jeszcze na to nie zwraca uwagi. Jeśli jednak chcesz być całkowicie ubezpieczony, poproś twórców swojej witryny o dodanie wyskakującego okienka z tekstem podobnym do tego: „Wyrażam zgodę na przetwarzanie plików cookie” (z przyciskiem „OK”).

Webvisor widzi dane osobowe. Co robić?

Bez obaw! Zgodnie z zaleceniami Yandex zabezpieczyliśmy specjalną klasą wszystkie pola, w których mogą być wskazane dane osobowe. Dzięki tej funkcji przeglądarka internetowa nie zobaczy danych osobowych użytkowników, które wprowadzają do formularzy w serwisie.

Słownik

Postanowiliśmy również wskazać wszystkie terminy, abyś nie miał już żadnych pytań.
Dane osobowe- wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (przedmiotu danych osobowych), w tym: jej nazwisko, imię, patronimika, rok, miesiąc, data i miejsce urodzenia, adres, e-mail, numer telefonu, inne informacje identyfikacyjne (patrz ustawa federalna nr 152, art. 3, 10, 11).

W chwila obecna lista danych osobowych nie jest zamknięta, jeśli masz wątpliwości, czy dane są osobowe, skontaktuj się z prawnikiem w celu wyjaśnienia.

Przetwarzanie danych osobowych to jakiekolwiek działanie lub zestaw działań, w tym gromadzenie, utrwalanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie, wydobywanie, wykorzystywanie, przekazywanie (dystrybucja, zapewnianie dostępu), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.
Operator- osoba prawna lub osoba fizyczna, która samodzielnie lub wspólnie z innymi osobami organizuje i (lub) przetwarza dane osobowe, a także ustala cele przetwarzania danych osobowych, skład przetwarzanych danych osobowych, działania ( operacji) dokonywanych na danych osobowych.
Rozpowszechnianie danych osobowych- działania mające na celu udostępnienie danych osobowych nieokreślonej liczbie osób.
Zniszczenie danych osobowych- działania, w wyniku których przywrócenie zawartości danych osobowych w systemie informacji o danych osobowych staje się niemożliwe i (lub) w wyniku których materialne nośniki danych osobowych ulegają zniszczeniu.

Stosunek Operatorów Danych Osobowych do wymogów prawnych jest zróżnicowany. Niektórzy wolą nic nie robić, nie przesyłać powiadomień o przetwarzaniu PD do Roskomnadzoru i mieć nadzieję, że rozwiążą problemy Przetwarzanie PD nie zostanie dotknięty. Ktoś pozostawia kwestie bezpieczeństwa informacji wyłącznie jemu osobom trzecim. Ktoś wyszukuje szablony kompletów dokumentów organizacyjnych i administracyjnych w ogólnodostępnych źródłach, poprawia je, drukuje i na tym poprzestaje. Każde z tych podejść ma swoje wady.

Bezczynność Operatora nie zwalnia go od zaplanowanych lub nieplanowanych (np. organizowanych na podstawie reklamacji) Temat PD) inspekcje przeprowadzane przez organy regulacyjne. Na tle doniesień o coraz wyższych karach za naruszenia wymogów przetwarzania danych osobowych takie podejście wygląda mało atrakcyjnie.

Całkowity outsourcing zagadnień związanych z bezpieczeństwem informacji wiąże się z ryzykiem znacznej przepłaty. Często wiąże się to z zakupem drogich narzędzi zapewniających bezpieczeństwo informacji, posiadających nadmiarową i nie zawsze potrzebną funkcjonalność. Ponadto stworzony i wdrożony system zabezpieczeń bez wsparcia użytkowników i administratorów Operatora w pewnym momencie przestaje mieć sens. Przecież system bezpieczeństwa to nie tylko wdrożenie środków i środków technicznych, ale także działań organizacyjnych mających na celu wypracowanie przez pracowników Operatora zasad i regulaminów prawidłowego podejścia do informacji chronionych.

Zestawy szablonów z sieci pozwalają stworzyć jedynie pozory bezpieczeństwa informacji, podczas gdy systemy informatyczne w rzeczywistości pozostają bezbronne i podatne na zagrożenia.

Proponujemy koncepcję syntetyczną, gdy upoważniona osoba Operatora samodzielnie przechodzi przez poszczególne etapy budowy systemu ochrony. I na scenie realizacja techniczna systemów ochrony, możliwe jest zaangażowanie wyspecjalizowanych organizacji.

Takie podejście pozwala na lepsze zrozumienie osobom upoważnionym Operatora istniejących procesów przetwarzanie informacji, w tym wszystkich osób zatrudnionych w pracy zainteresowane strony i w rezultacie uzyskać skuteczny system bezpieczeństwa informacji. Rozważmy to podejście bardziej szczegółowo.

Ramy regulacyjne

Każdy operator rozpoczynając pracę zadaje sobie pytanie – od czego zacząć? Zdecydujmy się ramy regulacyjne, na którym będziemy polegać.

1. Zamówienie Służba federalna Bezpieczeństwo Federacji Rosyjskiej z dnia 10 lipca 2014 r. Nr 378 „W sprawie zatwierdzenia składu i zawartości środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych danych osobowych za pomocą środków ochrona kryptograficzna informacje niezbędne do spełnienia wymogów ustanowionych przez Rząd Federacji Rosyjskiej w zakresie ochrony danych osobowych dla każdego poziomu bezpieczeństwa.”

Przyjrzyjmy się procedurze dla pojedynczego systemu informacyjnego.

GIS czy nie GIS

Po pierwsze, należy zrozumieć, czy dany system jest rządowym systemem informacyjnym (GIS), czy nie. Od tego będzie zależeć podejście do obrony. Jak ustalić, czy mamy przed sobą GIS, czy nie, opisano w osobnym artykule.

Aktualne zagrożenia bezpieczeństwa informacji

Konieczne jest określenie, które zagrożenia bezpieczeństwa informacji są istotne dla danego systemu informatycznego. Definicja aktualne zagrożenia odbywa się zgodnie z „Metodyką identyfikacji bieżących zagrożeń bezpieczeństwa danych osobowych”. W przypadek ogólny algorytm wygląda następująco:

1. Na podstawie ogółu odpowiedzi na liczbę kwestie pierwotne stwierdza się, że wstępne zabezpieczenie systemu informacyjnego.
2. Lista rozważanych zagrożeń tworzona jest w oparciu o „Podstawowy Model Zagrożeń Bezpieczeństwa Danych Osobowych” oraz Bank Danych o Zagrożeniach Bezpieczeństwa Informacji (patrz wyżej). Dla każdego zagrożenia prawdopodobieństwo jego realizacji określa się metodami eksperckimi.
3. Na podstawie prawdopodobieństwa wdrożenia i początkowego poziomu bezpieczeństwa określany jest współczynnik wykonalności dla każdego zagrożenia.
4. Dla każdego zagrożenia, za pomocą środków eksperckich, określany jest wskaźnik zagrożenia dla IS i Operatora.
5. Na podstawie wykonalności i wskaźników zagrożenia wyciąga się wniosek na temat znaczenia każdego zagrożenia. Generowana jest lista aktualnych zagrożeń.

Poziom bezpieczeństwa ISPD

Należy określić, jakiego rodzaju są obecne zagrożenia. Istnieją trzy rodzaje zagrożeń:

• związane z obecnością niezadeklarowanych możliwości w systemie oprogramowanie;
• związane z obecnością niezadeklarowanych możliwości w oprogramowaniu aplikacyjnym;
• niezwiązane z obecnością niezadeklarowanych możliwości w oprogramowaniu systemowym i aplikacyjnym.

Każde zagrożenie rozważamy osobno. Określamy, do jakiego typu maksymalnego należą.

Kolejnym krokiem jest określenie kategorii przetwarzanych danych. Istnieją następujące kategorie danych osobowych:

• specjalny;
• biometryczny;
• publiczny;
• inni.

W jednym systemie informatycznym może być przetwarzanych kilka kategorii danych osobowych. Szczegółową definicję kategorii podano w nr 152-FZ.

Konieczne jest określenie objętości przetworzonego PD. Możliwe są tutaj 3 warianty:

• do 100 tys.;
• ponad 100 tysięcy;
• Dane osobowe pracowników Operatora (bez odniesienia do objętości).

Na podstawie rodzaju zagrożeń, kategorii danych osobowych i ilości danych osobowych wyciąga się wniosek o poziomie bezpieczeństwa systemu zgodnie z Dekretem Rządowym nr 1119.

Aby określić KZ, możesz użyć specjalnej tabeli:

klasa GIS

Jeżeli dany system należy do GIS, należy określić jego klasę zgodnie z Zarządzeniem FSTEC nr 17 z dnia 02.11.2013.

W tym celu określa się dodatkowe wskaźniki do poprzedniej sekcji:

1. Skala GIS. Może mieć charakter federalny, regionalny i przedmiotowy. Kryteria określenia są zapisane w zarządzeniu FSTEC nr 17.
2. O poziomie ważności informacji decyduje stopień możliwej szkody poniesionej przez Operatora w wyniku naruszenia poufności, integralności lub dostępności informacji. Ma trzy wartości w kolejności malejącej ważności - UZ1, UZ2, UZ3. Ustalone przez ekspertów. Kryteria określenia są zapisane w zarządzeniu FSTEC nr 17.

Na podstawie poziomu istotności i skali SI wyciąga się wniosek o klasie GIS.

Podstawowy zestaw środków

Po określeniu poziomu bezpieczeństwa i klasy (dla GIS) należy przejść do stworzenia ogólnej listy wymagań i środków, które należy zapewnić w IS.

W przypadku ISPDn wymagania są formułowane zgodnie z pewnym poziomem bezpieczeństwa na podstawie nr 152-FZ, dekretu rządowego nr 1119, zarządzenia FSB Federacji Rosyjskiej nr 378 i zarządzenia FSTEC nr 21.

W przypadku GIS, oprócz wymagań niezbędnych dla ISPDn, dodatkowo dodano wymagania Rozporządzenia FSTEC nr 17.

W rezultacie powinien powstać lista ogólna wymagania i środki, które należy zapewnić w IS. Zadzwońmy do niego podstawowy zestawśrodki

Dostosowany zestaw środków

Kolejnym krokiem jest analiza powstałego podstawowego zestawu miar i jego aktualizacja. Oznacza to usunięcie z niego wszystkich środków, które są nietypowe dla rozważanego systemu informacyjnego. Na przykład usuwamy środek „Ochrona”. sieci bezprzewodowe„, jeśli w IS nie są stosowane technologie bezprzewodowe. W rezultacie otrzymujemy dostosowany podstawowy zestaw środków.

Rozszerzony zestaw środków

Badamy dostosowany podstawowy zestaw środków i porównujemy go z listą aktualnych zagrożeń bezpieczeństwa informacji. Jeżeli żaden środek nie obejmuje konkretnego aktualnego zagrożenia, zestaw uzupełniamy dodatkowe środki. W rezultacie wszystkie aktualne zagrożenia muszą być objęte środkami bezpieczeństwa informacji z zestawu środków. Na wyjściu otrzymujemy uzupełniony dostosowany podstawowy zestaw środków.

System bezpieczeństwa informacji

Zgodnie z powstałym zestawem środków, wybór technicznych środków ochrony lub wydarzenia organizacyjne mające na celu wdrożenie środków. Powstaje projekt systemu bezpieczeństwa informacji.

Dla ISPDn certyfikowane produkty Systemy ochrony informacji służą do zabezpieczenia bieżących zagrożeń bezpieczeństwa informacji.

W przypadku GIS stosowane są wyłącznie certyfikowane narzędzia bezpieczeństwa informacji.

Trwa wdrażanie systemu bezpieczeństwa w oparciu o stworzony projekt. Są wdrażane środki organizacyjne I środki techniczne ochrona. W procesach przetwarzania informacji opracowywane są i wdrażane polityki, regulaminy i instrukcje. Narzędzia bezpieczeństwa informacji są instalowane, konfigurowane i uruchamiane. Na tym etapie w świadczenie zaangażowane są wyspecjalizowane organizacje usługi powiązane. Jeśli sam to wdrożysz, zapoznaj się z typowymi błędami podczas budowania SPDDN.

Orzecznictwo

Po uruchomieniu systemu ochrony oceniana jest zgodność podjętych działań z wymogami prawa.

W przypadku ISPD ocena zgodności w formie certyfikacji nie jest wymagana. Wystarczające jest przeprowadzenie badań na zgodność z wymogami bezpieczeństwa wraz z wydaniem wniosku. Testy mogą być przeprowadzane przez operatora samodzielnie lub przy pomocy wyspecjalizowanych organizacji.

W przypadku GIS ocena zgodności w formie certyfikacji jest procedura obowiązkowa. Aby uzyskać certyfikację w zakresie wymagań bezpieczeństwa informacji, konieczne jest zaangażowanie wyspecjalizowanej organizacji upoważnionej do tej działalności.

Jaki jest wynik?

W wyniku takiego podejścia uzyskujemy system bezpieczeństwa informacji. Jak widzimy, zaangażowanie wyspecjalizowanych organizacji występuje tylko w końcowe etapy. Takie podejście pozwala organizacjom zaoszczędzić znaczne pieniądze, ponieważ większość pracy wykonują samodzielnie.

Co więcej, wykonując kolejne kroki, osoby upoważnione Operatorzy są bezpośrednio zaangażowani w prace związane z ochroną własności intelektualnej, co powinno pozytywnie wpłynąć na skuteczność powstałego systemu ochrony informacji.

Co wtedy?

Wdrożono i uruchomiono system bezpieczeństwa informacji. Czy można się uspokoić i zapomnieć o niej? Oczywiście, że nie. Świat systemów informatycznych i technologii bardzo się zmienia. Technologie rozwijają się i doskonalą, zmieniają się systemy informatyczne. Być może po pewnym czasie istotne staną się zagrożenia bezpieczeństwa informacji, które nie były istotne w momencie projektowania systemu bezpieczeństwa. Aby utrzymać system bezpieczeństwa informacji w należytym stanie, zalecamy przynajmniej raz w roku przeprowadzić audyt bezpieczeństwa informacji z udziałem specjalistów – lub samodzielnie.

Powodzenia na Twojej drodze do stworzenia własnego. efektywnego systemu ochrona informacji.

Stanisław Szylajew, kierownik projektów związanych z bezpieczeństwem informacji w SKB Kontur