Aby pomyślnie wdrożyć w przedsiębiorstwie system zapewniający poufność tych informacji, niezbędne są dokumenty dotyczące ochrony danych osobowych pracowników. W naszym artykule znajdziesz informacje nie tylko o tym, z jakiej dokumentacji można skorzystać podczas pracy z danymi osobowymi, ale także o tym, gdzie możesz pobrać przykłady takich dokumentów.

Ustawodawstwo dotyczące zbioru dokumentów dotyczących ochrony danych osobowych w organizacji

Ustawodawca w art. 7 Ustawa federalna „O danych osobowych” z dnia 27 lipca 2006 r. Nr 152 nakłada obowiązek organizacji mających status operatora danych osobowych (zwanego dalej PD), tj. osoby prawnej zbierającej, przetwarzającej i przechowującej takie informacje , aby zapewnić poufność informacji. Aby zapobiec nieuprawnionemu dostępowi do danych osobowych, konieczne jest wdrożenie kompleksu środki ochronne, którego lista obejmuje opracowanie pakietu dokumenty specjalistyczne i ich wdrażanie w działalności przedsiębiorstwa.

Jednocześnie ustawodawca nie określa dokładnego składu takiego pakietu i nie wskazuje, jaką formę powinny przyjmować dokumenty dotyczące ochrony danych osobowych. Oznacza to, że kierownictwo organizacji może samodzielnie określić wykaz i rodzaj dokumentacji wykorzystywanej do tych celów.

Co wchodzi w skład pakietu dokumentów z zakresu ochrony danych osobowych, skąd mogę pobrać próbki?

Tradycyjnie całą dokumentację wykorzystywaną przy wdrażaniu działań mających na celu zapewnienie ochrony danych osobowych w przedsiębiorstwie można podzielić na 3 grupy:

1. Organizacyjne. Dokumenty te określają zadania, funkcjonalność i zakres odpowiedzialności służb i pracowników zajmujących się gromadzeniem, przetwarzaniem i przechowywaniem danych osobowych pracowników przedsiębiorstwa. Ta kategoria obejmuje:
   • przepisy dotyczące WNZ (lub ochrony WNZ);
   • opisy stanowisk;
   • nakazy (w sprawie dopuszczenia do pracy z danymi osobowymi, zatwierdzenia listy pracowników uprawnionych do pracy z danymi osobowymi itp.);
   • powiadomienia.
2. Techniczny. Dokumentacja tego typu zawiera informacje określające tryb i sposoby realizacji procedury ochrony danych osobowych. Może to obejmować instrukcje dotyczące przetwarzania i ochrony danych osobowych.
3. Metodyczny. Dokumenty te szczegółowo opisują procesy przetwarzania PD i określają procedurę pracy z dokumentami i innymi nośnikami PD. W tej grupie znajdują się zasady pracy z PD.

Tym samym pakiet dokumentacji ochrony danych osobowych może obejmować opisy stanowisk, zlecenia, powiadomienia, a także przepisy regulujące tryb zbierania, przetwarzania i przechowywania informacji. Wzory wszystkich tych dokumentów są dostępne na naszej stronie internetowej.

Wymogi ochrony danych osobowych regulują przepisy prawa:

• 149 ("O informacjach"),
• 249 („O ochronie praw osób prawnych i indywidualni przedsiębiorcy podczas wdrażania kontrola państwowa(nadzór) i kontrola gminna”).
• Sztuka. 26 ustawy” O bankach i bankowy „ – Zgodnie z art. 26 ustawy „O bankach i działalności bankowej” do tajemnica bankowa zawiera informacje o transakcjach, rachunkach i depozytach klientów i korespondentów. Według rosyjskiego ustawodawstwa instytucja kredytowa gwarantuje tajemnicę rachunku bankowego oraz depozyt bankowy, transakcje na koncie i informacje o klientach.

1 września 2015 roku w Rosji wszedł w życie przepis wyznaczony ustawą federalną nr 242, który nakłada na operatorów danych osobowych obowiązek przetwarzania i przechowywania danych osobowych Rosjan za pomocą baz danych znajdujących się na terytorium Federacji Rosyjskiej. Z uwagi na to, że niektóre terminy i sformułowania użyte w tym przepisie na to pozwalają różne interpretacje Ministerstwo Telekomunikacji i Komunikacji Masowej przygotowało wyjaśnienia w tej sprawie. Lista wyjaśnień dostępna jest tutaj.

Badania

2017: Bazy klientów towarzystw ubezpieczeniowych są dostępne na rynku równoległym

Według wyników badań zespół doradców„MFI Soft” za wrzesień 2017, na czarnym rynku znaleziono już 5,6 mln rekordów danych klientów towarzystw ubezpieczeniowych, można je kupić na otwartych forach pirackich. Najnowsze dane są istotne - 2016-2017. Jednocześnie dwie trzecie wszystkich ofert dotyczy ubezpieczeń komunikacyjnych – zapewne klientów CASCO/MTPL cenią przede wszystkim konkurencyjne towarzystwa ubezpieczeniowe. Jednocześnie najszybciej aktualizują się oferty baz ubezpieczeń komunikacyjnych – niektórzy sprzedawcy oferują aktualizacje co miesiąc.

Koszt bazy danych

Bazy danych firm ubezpieczeniowych to jedne z najdroższych i najbardziej poszukiwanych informacji na rynku. Na „czarnym rynku” prezentowane są bazy danych różnej wielkości – od kilkuset klientów po dziesiątki i setki tysięcy. Koszt jednego kontaktu w małej, ale aktualnej bazie danych może sięgać 10 rubli, natomiast w dużych bazach spada do 0,001 rubla. Każdy może kupić taką bazę w cenie od 250 do 40 tysięcy rubli. Na koszt wpływają takie parametry jak liczba kontaktów, trafność i kompletność danych. Najpopularniejszym cennikiem jest 3500 rubli, przy rozmiarze bazy danych do 60 tysięcy rekordów, wskazanym w MFI Soft.

Zasięg geograficzny

Nieco mniej niż połowa propozycji sprzedaży pochodzi z baz ubezpieczycieli obwodu moskiewskiego (41% ankietowanych propozycji). Na drugim miejscu (21%) znajdują się bazy obwodu leningradzkiego. Około 26% baz obejmuje swoim zasięgiem całą Rosję. Propozycje baz danych obejmujących tylko jedno miasto lub region niestołeczny spotykane są w pojedynczych przypadkach (12%). W 59% przypadków bazy danych zawierają kompletne dane o klientach, obejmujące nie tylko dane osobowe, ale także dane o samochodzie, historię transakcji ubezpieczeniowych i kopie dokumentów.

Ryzyka dla klientów i firm

Według szacunków MFI Soft ryzyko dla użytkownika usług firmy ubezpieczeniowej w przypadku wycieku waha się od otrzymania spamu po poważne oszustwa majątkowe, ponieważ dane mogą być przedmiotem zainteresowania struktur przestępczych. Dla samych firm ubezpieczeniowych, oprócz bezpośredniej utraty klientów, duże wycieki są obarczone utratą reputacji i sankcjami ze strony organów regulacyjnych za naruszenie ustawy 152-FZ „O danych osobowych”. Takie precedensy w branży odnotowano już w 2012 roku.

Źródła wycieków

Jak odkryli badacze, informacje o klientach towarzystw ubezpieczeniowych wyciekają nie na etapie zbierania informacji, ale z systemów informatycznych. Skład bazy często wskazuje na źródło wycieku, w niektórych przypadkach może nawet wskazywać dział w firmie (jeśli wiadomo, jaki proces biznesowy zapis jest wzbogacony o określone dane), jednak dość trudno jest określić, kto właścicielem samego systemu informatycznego. Ponieważ dane mogą pochodzić zarówno bezpośrednio od ubezpieczycieli, jak i z innych systemów informatycznych – policji drogowej, pojedyncza baza RSA itp.

Głównymi dostawcami danych w firmach są agentów ubezpieczeniowych, występują również wycieki spowodowane przez administratorzy systemu. Często spotykane na platformy handlowe oferta wynajmu zdalny dostęp w IS firm ubezpieczeniowych (np. portale partnerskie), za pośrednictwem których można dokonywać wgrań na klientach.

Wysoki popyt na podstawy ubezpieczenia danych na czarnym rynku powstaje coraz więcej aktualne oferty od wtajemniczonych, którzy często pracują na zamówienie.

Aby chronić dane i zapobiegać wyciekom, analitycy MFI Soft zalecają, aby ubezpieczyciele uważniej monitorowali legalność dostępu do swoich baz danych w ramach organizacji, zwracali uwagę na masowe pobrania z systemów przechowywania informacji i nietypowe działania użytkowników uprzywilejowanych, a także monitorowali podatności używanego systemu DBMS.

2016: Dane osobowe milionów Rosjan są już na „czarnym” rynku

Według wyników badania „ Bazy danych czarnego rynku z centrum analitycznego „MFI Soft” z listopada 2016 r. wielkość rynku nielegalnych baz danych w Rosji wynosi ponad 30 milionów rubli, jeśli przełożyć na liczbę rekordów osób prywatnych, okazuje się, że jest to ponad 1,2 miliarda W ciągu zaledwie kilku godzin poszukiwań w Internecie można znaleźć w bazach danych klientów dużych banków, firm ubezpieczeniowych i kasyn online.

Jak się okazało, na pirackich forach i portalach szczególnie popularne są dane od klientów organizacji finansowych – 34%, a także klientów dużych sklepów internetowych – 19%, brokerów – 18% i operatorów telekomunikacyjnych – 6%.

W ramach badania odkryto bazy klientów 18 dużych rosyjskich banków – wśród nich znajdują się przedstawiciele TOP 10 największych rosyjskich banków, a także bazy popularnych organizacji mikrofinansowych. Do takich baz wysoki poziom interesujące dla różnego rodzaju oszustów, jeśli baza danych zostanie wzbogacona o informacje o koncie. Prawie co dziesiąty rekord (8% wykrytych danych) w skradzionej bazie danych ma duże prawdopodobieństwo spowodowania poważnych konsekwencji. negatywne konsekwencje- na przykład wykorzystywane do fałszowania umowy pożyczki, oszustwa dotyczące nieruchomości, oszustwo bankowe lub więcej poważne konsekwencje. Inną możliwością rozwoju wydarzeń jest udzielanie pożyczek z wykorzystaniem danych paszportowych użytkowników usługi bankowe i odsprzedaży bazy kolekcjonerom. W sprzedawanej bazie danych można znaleźć pełne dane kontaktowe danej osoby, w tym jej dane paszportowe, aktualne miejsce zamieszkania, wyciągi bankowe i przeniesienia własności, informacje o podatkach i karach.

Ile warte są dane osobowe na czarnym rynku?

W ostatnie lata wartość danych osobowych znacznie spadła. Jak wykazało badanie 134 baz danych dostępnych bezpłatnie na czarnym rynku, średni koszt jeden kontakt dla list mailingowych to 2 kopiejki. Największą wartość mają bazy towarzystw ubezpieczeniowych – cena rekordu sięga 10 rubli przy średniej cenie 2,73 rubla, dane od klientów banków wyceniane są średnio na 0,28 rubla za rekord. Tak naprawdę taką bazę danych może kupić każdy użytkownik Internetu, niektórzy z czystej ciekawości, inni dla zysku.

Co zawierają szare bazy danych i jakie są tego konsekwencje?

Bazy danych mogą zawierać nie tylko nazwiska i kontakty użytkowników usług, ale także wszystkie dokumenty, od danych paszportowych po prawo jazdy do liczb karty bankowe oraz rachunki wskazujące kwoty depozytów. Istnieją nawet bazy danych według obszarów działalności, na przykład bazy danych menedżerów służb bezpieczeństwa, bazy danych dyrektorów regionalnych i inne równie ciekawe opcje.

W najlepszym przypadku takie bazy danych są kupowane w celu wysyłania spamu i dzwonienia z ofertami usług. Nieco rzadziej bazy danych na czarnym rynku są kupowane przez oszustów w celu popełnienia oszustwa finansowego. Wykorzystując dane paszportowe, za pomocą socjotechniki, można uzyskać dostęp do kont kart użytkowników i wypłacić z nich środki, a także szantażować właścicieli tych danych lub ubiegać się o pożyczkę dla nich w organizacji mikrofinansowej.

Źródła wycieków baz danych

Właściciele baz danych ponoszą odpowiedzialność za wyciek danych użytkownika, ponieważ stanowi to bezpośrednie naruszenie ustawy federalnej nr 152 „O danych osobowych”. Często jednak sami nawet nie podejrzewają, że ich bazy zostały skradzione, a dowiadują się o tym dopiero po głośnych incydentach. Według próbki MFI Soft bazy danych trafiają na czarny rynek na cztery sposoby: złośliwy insider – 78%, hacking – 2%, nieuczciwość (celowe rozpowszechnianie danych klientów na zasadach komercyjnych) – 13%, parsowanie (gromadzenie i strukturyzowanie danych z otwartych źródeł) – 7%. Z czego wynika, że ​​głównym problemem rosyjskich firm jest wyciek baz danych przez pracowników.

numer telefonu.to: 137 090 136 przejętych kont w bazie danych

Jak zapewnić bezpieczeństwo?

Organizacje przetwarzające dane osobowe w celu uniknięcia naruszeń muszą przeprowadzić szereg działań, do których zaliczają się następujące prace:

• przesłanie powiadomienia o przetwarzaniu danych osobowych do organu nadzorczego Roskomnadzor;
• opracowanie formularza i uzyskanie zgody każdego podmiotu na przetwarzanie jego danych osobowych (zgoda musi zawierać odręczny podpis podmiot (lub jego podpis cyfrowy));
• udokumentowany opis systemów informatycznych przetwarzania danych osobowych (cel, skład danych, podstawy prawne ich przetwarzania), a także oznaczenie kręgu osób pracujących z danymi osobowymi i mających do nich dostęp;
• rozwój serii dokumenty regulacyjne, opisujący modele zagrożeń i sposoby ochrony danych osobowych przed nimi;
• zapewnienie ochrony danych osobowych metodami technicznymi (oprogramowanie, sprzęt) i organizacyjnymi;
• przejście niezbędnych kontroli potwierdzających zgodność systemów ochrony danych osobowych z wymogami prawa.

Aby te prace mogły zostać zrealizowane z sukcesem, konieczne jest, po pierwsze, wyznaczenie pracownika odpowiedzialnego za ochronę danych osobowych, po drugie, za wszelkie zasoby i podsystemy zawierające dane osobowe, ustalenie ich stanu, wreszcie, określenie sposobów i czas przetwarzania danych, a także okres ważności.”

Po pierwsze, najskuteczniejszym i najtańszym sposobem przechowywania danych osobowych jest przechowywanie ich w formie zanonimizowanej. Należy maksymalnie uogólniać, depersonalizować informacje i usuwać informacje zbędne – w ten sposób można po prostu nie bać się zamierzonego lub przypadkowego wycieku informacji – nie będzie to miało praktycznie żadnej wartości dla atakujących. Nawiasem mówiąc, ustawodawstwo Stanów Zjednoczonych zaleca takie podejście w celu zapewnienia bezpieczeństwa danych osobowych. Oczywiście jest to miecz obosieczny. Takie podejście niewątpliwie zmniejsza potrzebę ochrony danych, ale znacząco komplikuje możliwość ich przetwarzania.

Operatorzy danych osobowych w większości porzucili prace nad zapewnieniem bezpieczeństwa informacji. Prawo będzie się zmieniać, jest taka potrzeba i są na to dowody, więc inwestowanie w realizację wymogów formalnych, niezależnie od ich wagi, jest raczej marnotrawstwem.

W niejednoznacznej sytuacji znajdują się także firmy zajmujące się produkcją produktów do ochrony danych osobowych. Poszukując rozwiązań, które pozwolą z jednej strony zadowolić regulatorów, z drugiej klientów, a w końcu nie stracić, dochodzą do wniosku, że restrukturyzacja ugruntowanego modelu systemu ochrony danych osobowych jest nieunikniona .

Jednocześnie wyraźnie widoczna jest różnica pomiędzy wiodącymi w swojej branży firmami a firmami uzupełniającymi. Ci ostatni w większości szybko przeorientowali się, aby dostosować się do wymogów prawa. Wachlarz oferowanych przez nich usług poszerzył się o pomoc w uzyskaniu licencji, prowadzeniu badań i klasyfikacji systemów informatycznych, wsparcie konsultingowe. Nie zabrakło także ekspertów od sposobów obejścia prawa – artykuł zatytułowany „Pięć porównawczo legalne sposoby opór FZ-152".

O wiele ciekawsze jest to, co o innowacji sądzą przedstawiciele poważnych firm zajmujących się bezpieczeństwem informacji. Wielu dostawców zaczęło aktywnie udoskonalać swoje rozwiązania, zastanawiając się, czy spełniają one wymogi regulacyjne. Inni nie śpieszą się z podjęciem tak drastycznych kroków, czekając na dalsze zmiany w przepisach. Jednak zdaniem wielu firm kluczową kwestią jest stworzenie kultury ochrony danych osobowych. Na przykład Aleksiej Sabanow, zastępca dyrektor generalny Aladyn wierzy, że nr 152-FZ wpaja kulturę bezpieczeństwa informacji w społeczeństwie i na wszystkich poziomach Rosyjski biznes. Alexander Sharamok, przedstawiciel firmy Ortikon, uważa, że ​​sytuacja w zakresie ochrony danych osobowych ulegnie poprawie, jeśli zostaną stworzone przejrzyste ramy prawne, regulacyjne i techniczne oraz ukształtuje się w społeczeństwie kultura ochrony danych osobowych, po raz pierwszy kroki, które widzi również w ustawie nr 152 - ustawa federalna „O danych osobowych”.

Jednak oprócz poprawy technicznych środków bezpieczeństwa, firmy zdecydowanie muszą zwrócić uwagę na element metodologiczny. Już teraz wiele firm oferuje swoim klientom budowę modelu zagrożeń dla bezpieczeństwa danych osobowych. Ponadto pomoc w określeniu rodzaju systemu informatycznego, wsparcie informacyjne w kwestiach licencyjnych i kontrolnych, znalezienie sposobów na obniżenie klasy przetwarzanych danych – to wszystko powoli zaczyna zajmować swoją niszę na rynku usług bezpieczeństwa informacji, a w przyszłość, będzie się tylko rozwijać.

Depersonalizacja danych osobowych

Wymóg prawny dotyczący anonimizacji danych

Depersonalizacja danych osobowych powinna zapewniać nie tylko ochronę przed nieuprawnionym wykorzystaniem, ale także możliwość ich przetwarzania. W tym celu zanonimizowane dane muszą posiadać właściwości, które zachowują podstawowe cechy zanonimizowanych danych osobowych.

Właściwości zanonimizowanych danych

• kompletność(zachowanie wszystkich informacji na temat konkretnych podmiotów lub grup podmiotów, które były dostępne przed depersonalizacją);
• struktura(zachowanie powiązań strukturalnych pomiędzy zanonimizowanymi danymi konkretnego podmiotu lub grupy podmiotów odpowiadających powiązaniom istniejącym przed depersonalizacją);
• znaczenie(możliwość obsługi wniosków o przetwarzanie danych osobowych i otrzymywania odpowiedzi w tej samej formie semantycznej);
• integralność semantyczna(zachowanie semantyki danych osobowych przy ich depersonalizacji);
• zastosowanie(możliwość rozwiązania problemów związanych z przetwarzaniem danych osobowych stojących przed operatorem dokonującym depersonalizacji danych osobowych przetwarzanych w systemach informatycznych danych osobowych, w tym tworzonych i funkcjonujących w ramach realizacji federalnych ukierunkowane programy(zwany dalej operatorem, operatorami), bez uprzedniej deidentyfikacji całego tomu zapisów o podmiotach);
• anonimowość(niemożność jednoznacznej identyfikacji osób, których dane dotyczą, pozyskanych w wyniku depersonalizacji, bez wykorzystania dodatkowych informacji).

Typowe podejścia do anonimizacji danych

• Dane nie są anonimizowane (przy zastosowaniu NDA z kontrahentami)

• Po anonimizacji funkcje danych zostają utracone (nadmierne maskowanie danych)
• Po depersonalizacji łączność danych zostaje utracona
• Nie ma jednego narzędzia do anonimizacji danych
• Anonimizacji podlegają wyłącznie dane zgodnie z dokumentacją aplikacji
• Identyczne zasady depersonalizacji danych dla różnych zadań
• Depersonalizacja danych zajmuje dużo czasu
• Po zmianie źródeł (na przykład po zainstalowaniu łatek) zmiana procesów depersonalizacji zajmuje dużo czasu

Anonimizuj najważniejsze dane w czasie rzeczywistym

Jakie dane należy maskować w czasie rzeczywistym?

Używaj silnego uwierzytelniania wieloskładnikowego

Kradzież danych osobowych jest jednym z najniebezpieczniejszych i powszechnych zagrożeń w obszarze bezpieczeństwa informacji. Jest to przyczyną włamań w czterech z pięciu przypadków Verizon. Raport o naruszeniu danych 2013. Zatem wprowadzenie nazwy użytkownika i hasła nie wystarczy, aby uzyskać dostęp do systemu osobistego. Aby chronić dane osobowe, konieczne jest stosowanie silnego uwierzytelniania. Na przykład jeden z optymalne rozwiązania nastąpi uwierzytelnianie dwuskładnikowe, w ramach którego trzeba dwukrotnie potwierdzić swoją tożsamość: przy pomocy identyfikatora – tokena, karty inteligentnej, aplikacja mobilna, a także poprzez podanie tajnego hasła. W przyszłości może zostać wprowadzony dodatkowy czynnik biometryczny, w którym konieczne może być pobranie odcisków palców w celu potwierdzenia tożsamości pracownika.

Szyfruj poufne wiadomości e-mail i pliki

E-mail jest jak najbardziej ważne narzędzie komunikacji wewnątrz każdej organizacji, korzystają z niej zarówno menadżerowie, jak i pozostali pracownicy firmy. Aby chronić e-mail, musisz użyć specjalnego certyfikowanego programu, który umożliwia szyfrowanie oddzielne pliki lub wiadomości w taki sposób, aby tylko konkretny odbiorca, posiadający klucz, mógł uzyskać dostęp do zaszyfrowanych informacji. Konieczne jest także przejrzyste prowadzenie bazy kontaktów, aby informacja przypadkowo nie trafiła do niewłaściwego odbiorcy.

Ustal zasady bezpieczeństwa informacji dla menedżerów

Oczywiście wszystkie powyższe zalecenia zadziałają pod warunkiem dodatkowych inwestycji ze strony kierownictwa firmy. W tej sytuacji potrzebni są pośrednicy, którzy mogą zapewnić niezbędne przeszkolenie menedżera i przekazać wszystkie podstawowe zasady zapewnienia bezpieczeństwa informacji. Ta praktyka pomoże zmienić zachowanie lidera i zmotywuje pracowników do pójścia za przykładem kierownictwa.

Aktywność cyberprzestępcza nasila się i każda organizacja powinna pomyśleć o ochronie danych firmowych. W wielu firmach zapewnienie bezpieczeństwa informacji jest środek obowiązkowy, czego należy przestrzegać na żądanie organów regulacyjnych, jednak kwestia bezpieczeństwa danych kadry kierowniczej firm w dalszym ciągu pozostaje otwarta i wymaga specjalnego podejścia, które zapewni ochronę informacji, a jednocześnie nie będzie miało wpływu na mobilny tryb życia pracowników wykonawczy.

Adnotacja: Wykład umożliwia zapoznanie się z podstawowymi pojęciami i podstawowe prawa Federacja Rosyjska w zakresie ochrony danych osobowych.

regulatory nazywają się narządy władza państwowa, upoważniony do podejmowania działań kontrolnych i nadzorczych w zakresie spełniania wymogów prawa federalnego. Ustawa federalna „O danych osobowych” ustanawia trzy organy regulacyjne:

• Roskomnadzor (ochrona praw osób, których dane dotyczą)
• FSB (wymagania w zakresie kryptografii)
• FSTEC Rosji (wymagania dotyczące ochrony informacji przed nieuprawnionym dostępem i wyciekiem kanałami technicznymi).

Ponieważ ustawa federalna „O danych osobowych” jest tylko podstawą wsparcie prawne ochrona danych osobowych, jej wymagania zostały następnie określone w ustawach Rządu Federacji Rosyjskiej i Ministerstwa Łączności, dokumentach normatywnych i metodologicznych organów regulacyjnych.

2.2. Kategorie danych osobowych

Ustawa federalna „O danych osobowych” określa następujące kategorie danych osobowych.

Publiczna policja - dane, do których dostęp ma nieograniczona liczba osób za zgodą podmiotu PD lub w stosunku do których zgodnie z prawem federalnym nie obowiązują wymogi dotyczące poufności. Publiczne źródła danych osobowych tworzone są w celach informacyjnych (np. książki telefoniczne i adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimikę, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe przekazane przez podmiot danych osobowych.

Należy pamiętać, że informacja o przedmiocie danych osobowych może zostać w każdej chwili wykluczona ze źródeł publicznie dostępnych na wniosek podmiotu lub na mocy decyzji sądu lub uprawnionych organów rządowych.

Specjalne kategorie PD - dane osobowe związane z rasą, pochodzeniem narodowym, poglądami politycznymi, przekonaniami religijnymi lub filozoficznymi, stanem zdrowia, życie intymne. Ich przetwarzanie jest dozwolone wyłącznie w następujących przypadkach:

• podmiot danych osobowych wyraził zgodę na piśmie do przetwarzania Twoich danych osobowych;
• dane osobowe są publicznie dostępne;
• dane osobowe dotyczą stanu zdrowia podmiotu PD i uzyskanie jego zgody jest niemożliwe lub przetwarzanie danych osobowych odbywa się przez osobę zajmującą się zawodowo działalność medyczną i zobowiązany zgodnie z ustawodawstwem Federacji Rosyjskiej do zachowania tajemnicy lekarskiej;
• przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacja religijna pod warunkiem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów PD;
• przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej lub jest niezbędne w związku z wymiarem sprawiedliwości.

Wspólne zarządzenie FSTEC, FSB i Ministerstwa Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej z dnia 13 lutego 2008 r. N 55/86/20 „W sprawie zatwierdzenia Procedury klasyfikacji systemów informatycznych danych osobowych” określa, co następuje: kategorie danych osobowych, które są przetwarzane w ISPD:

Definicja danych biometrycznych w ustawodawstwie rosyjskim zapewnia podmiotowi przetwarzającemu dane osobowe możliwość podjęcia niezależnej decyzji o zakwalifikowaniu niektórych danych jako biometrycznych. Wywołało to wiele kontrowersji. Spójrzmy na przykład ze zdjęciem. Z jednej strony charakteryzuje fizjologiczne cechy człowieka. Ale z czasem osoba może się bardzo zmienić, a atakujący może udawać znaki zewnętrzne pod podmiot prawny. Czy jest tak jasno w w tym przypadku identyfikacja? Organy regulacyjne potwierdzają obecnie, że zdjęcia i obrazy wideo są klasyfikowane jako dane biometryczne.

2.3. Prawa podmiotu danych osobowych

Osoba, której dane dotyczą, to osoba fizyczna, którą można jednoznacznie zidentyfikować na podstawie danych osobowych, czyli de facto osoba, której dane wymagają ochrony. Rozważmy podstawowe prawa podmiotu danych osobowych ustanowione w ustawie federalnej nr 152.

1. Prawo osoby, której dane dotyczą, do dostępu do swoich danych osobowych. Zakłada to prawo podmiotu do otrzymania informacji o operatorze danych osobowych i jakie PD związane z tym podmiotem przetwarza, a także bezpośredni dostęp do tego PD. Podmiot ma prawo żądać od operatora wyjaśnienia PD, jego zablokowania lub zniszczenia, jeżeli jest nieaktualny, niekompletny lub nie jest niezbędny do wskazanego celu przetwarzania. Dostęp do Twoich danych osobowych uzyskuje podmiot (lub jego przedstawiciel) w trakcie kontaktu lub na podstawie wniosku. Otrzymane informacje mogą zawierać następujące informacje:
   • cel przetwarzania PD
   • Metody przetwarzania WNZ
   • Ramy czasowe przetwarzania PD
   • lista osób dopuszczonych do przetwarzania PD
   • lista przetworzonych PD i źródło ich otrzymania
   • informacje o możliwościach skutki prawne przetwarzanie danych osobowych dla podmiotu danych osobowych.

   Ustawa określa przypadki, w których to prawo podmiotu PD jest ograniczone, np. jeżeli o czym mówimy o bezpieczeństwie kraju, naruszenie prawa konstytucyjne i wolności innych osób lub działań operacyjno-rozpoznawczych.

2. Prawa podmiotów PD przy przetwarzaniu danych osobowych w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej. W takim przypadku przetwarzanie odbywa się wyłącznie za uprzednią zgodą podmiotu. Należy pamiętać, że przetwarzanie uważa się za dokonane bez zgody podmiotu, chyba że operator udowodni, że jest inaczej. Operator ma obowiązek natychmiastowego zaprzestania przetwarzania PD na żądanie podmiotu.
3. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji wyłącznie na podstawie automatyczne przetwarzanie ich dane osobowe. Prawo zabrania podejmowania decyzji dotyczących przedmiotu danych osobowych wyłącznie na podstawie zautomatyzowanego przetwarzania, chyba że uzyskana zostanie jego zgoda na piśmie lub w przypadkach przewidzianych przez prawo federalne.
4. Prawo do odwołania się od działań lub zaniechań operatora. Jeśli podmiot PD uważa, że ​​operator przetwarza jego PD niewłaściwie, czyli narusza jego prawa, może zwrócić się do uprawnionego organu w sprawie ochrony praw osób, których dane osobowe dotyczą, lub postępowanie sądowe.

Należy zaznaczyć, że podmiot danych osobowych ma prawo do odszkodowania za straty i szkody szkody materialne w sądzie.

2.4. Obowiązki operatora danych osobowych

Wcześniej przyglądaliśmy się koncepcji operatora danych osobowych i działania, które są przetwarzanie danych osobowych. Na podstawie definicji możemy stwierdzić, że wszystkie organizacje bez wyjątku są operatorami PD, ponieważ gromadzą, gromadzą i przetwarzają informacje o swoich pracownikach w ramach Kodeksu pracy Federacji Rosyjskiej. Ponadto wiele organizacji gromadzi informacje o swoich klientach, kontrahentach, dostawcach i partnerach w ramach swojej podstawowej działalności. Do głównych obowiązków operatora PD należy powiadamianie Roskomnadzor o przetwarzaniu PD i w rzeczywistości ochrona PD.

Prawo przewiduje przypadki, w których operator nie jest zobowiązany do powiadamiania Roskomnadzor o przetwarzaniu danych osobowych:

1. jeżeli jest związany z podmiotem stosunkami pracy;
2. jeżeli pomiędzy operatorem a podmiotem istnieje umowa, a dane są niezbędne do wywiązania się z wynikających z niej obowiązków;
3. jeżeli dane dotyczą członków stowarzyszenia religijne I organizacje publiczne i przetwarzane zgodnie z dokumenty założycielskie i z prawem.
4. jeżeli dane są publicznie dostępne;
5. jeśli zawierają tylko imię i nazwisko;
6. dane są niezbędne do jednorazowego przejazdu na teren operatora lub do podobnych celów;
7. jeżeli dane są zawarte w federalnych zautomatyzowanych systemach informacyjnych i stanowych systemach informacji o danych osobowych;
8. jeżeli dane są przetwarzane bez użycia narzędzi automatyzacji zgodnie z prawem Federacji Rosyjskiej.

Należy pamiętać, że operator ma obowiązek nie nadawać dane osobowe osobom trzecim.

Jednocześnie wiele organizacji popełnia błąd, że jeśli nie mają obowiązku powiadamiania uprawnionego organu o przetwarzaniu PD, to mogą nie dopełnić obowiązków nałożonych przez prawo na operatorów PD. Takie działania są nielegalne, są jednoznacznie interpretowane jako nieprzestrzeganie wymogów prawa i podlegają karze środków przewidzianych przez ustawę.

Rozważmy główne obowiązki operatora danych osobowych przewidziane w ustawie federalnej nr 152:

1. Zapewnienie bezpieczeństwa przetwarzania danych osobowych, co oznacza obowiązek „podjęcia niezbędnych działań organizacyjnych i środki techniczne Dla ochrona danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.”
2. Zgłoszenie charakteru przetwarzania danych osobowych. Zgodnie z art. 2 ustawy federalnej nr 152 przed rozpoczęciem przetwarzania danych osobowych operator jest zobowiązany powiadomić upoważniony organ ds. ochrony praw podmiotów danych osobowych (Roskomnadzor) o swoim zamiarze przetwarzania danych osobowych. Roskomnadzor wprowadza informacje o operatorze do rejestru operatorów. Informacje zawarte w rejestrze, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.
3. Otrzymując dane osobowe (w tym od osób trzecich) operator PD, przed rozpoczęciem przetwarzania, zobowiązany jest uzyskać pisemną zgodę podmiotu tego PD na ich przetwarzanie (z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub jeżeli są one publicznie dostępne). Należy pamiętać, że podmiot ma prawo odwołać tę zgodę.
4. Operator ma obowiązek na żądanie podmiotu PD udzielić wszelkich dostępnych informacji o nim, celach i warunkach przetwarzania oraz sposobach ochrony jego danych osobowych.

   Operator ma także obowiązek zniszczyć lub zablokować odpowiednie dane osobowe, dokonać w nich niezbędnych zmian po przekazaniu przez podmiot PD lub jego prawnego przedstawiciela informacji potwierdzającej, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora są niekompletne, nieaktualne, nierzetelne, otrzymane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania.

   Ponadto operator PD ma obowiązek przedstawić dowód uzyskania zgody PD na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych ma obowiązek wykazać, że przetwarzane PD jest publicznie dostępne.

5. Kontrola i nadzór nad działalnością operatorów danych osobowych przez agencje rządowe. Oznacza to obowiązek operatora zgłaszania uprawnionemu organowi ochrony praw osób, których dane osobowe dotyczą, na żądanie, informacji niezbędnych do prowadzenia działalności wspomniane ciało. Państwo powierzyło funkcje kontrolne i nadzorcze Roskomnadzorowi, FSTEC i FSB.

Prawo przewiduje także przypadki, w których nie jest wymagana zgoda podmiotu danych osobowych na przetwarzanie informacji o nim:

1. przetwarzanie danych osobowych odbywa się na podstawie innych przepisów federalnych, na przykład niektóre przepisy federalne przewidują przypadki przepis obowiązkowy PD podmiotu swoich danych osobowych w celu ochrony podstaw podstawowych porządek konstytucyjny, moralność, zdrowie, prawa i uzasadnione interesy inne osoby zapewniające obronę kraju i bezpieczeństwo państwa;
2. operatora i podmiot PD łączy umowa o dokonaniu czynności wymagających przetwarzania danych osobowych tego podmiotu, np. umowa, na podstawie której biuro podróży(operator) ma prawo wykorzystać dane osobowe podmiotu w celu rezerwacji hotelu;
3. przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych ważnych dla życia osób ważne interesy przedmiot danych osobowych, jeżeli uzyskanie jego zgody jest niemożliwe, np. hospitalizacja osoby w wyniku nieszczęśliwego wypadku;
4. przetwarzanie danych osobowych jest niezbędne w celu doręczania przesyłek pocztowych przez organizacje poczta, dla operatorów telekomunikacyjnych dokonywania rozliczeń z użytkownikami usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także rozpatrywania roszczeń użytkowników usług komunikacyjnych;
5. przetwarzanie danych osobowych odbywa się w celach działalności zawodowej dziennikarza lub w celach naukowych, literackich lub innych działalność twórcza pod warunkiem, że nie zostaną naruszone prawa i wolności podmiotu danych osobowych;
6. przetwarzane są dane osobowe podlegające publikacji zgodnie z prawem federalnym, w tym dane osobowe osób zajmujących stanowiska rządowe, stanowiska rządowe służba cywilna, dane osobowe kandydatów na wybieralne stanowiska państwowe lub samorządowe.

We wszystkich pozostałych przypadkach operator musi przestrzegać wymagań ustawodawstwo rosyjskie w sprawie przetwarzania danych osobowych. Prawo przewiduje odpowiedzialność cywilną, karną, administracyjną, dyscyplinarną i inną za naruszenie jego wymagań.

Tak stanowi Kodeks wykroczeń administracyjnych maksymalna kara 500 000 rubli za nieprzestrzeganie porządek prawny Roskomnadzor (art. 19 ust. 5 kodeksu administracyjnego). Ten sam Kodeks przewiduje zawieszenie działalności organizacji na okres do 90 dni w przypadku prowadzenia działań mających na celu ochronę danych osobowych bez licencji (art. 19.20 Kodeksu administracyjnego).

Kodeks karny przewiduje karę w wysokości 300 000 rubli, praca obowiązkowa na okres do 1 roku, areszt na okres do 6 miesięcy i pozbawienie prawa sprawowania urzędu na okres do 5 lat w przypadku ochrona danych osobowych bez zezwolenia, jeżeli czyn ten wyrządził obywatelom poważną szkodę (art. 171 k.k.).

Z systematycznym i rażące naruszenia Roskomnadzor ma prawo wystąpić z wnioskiem o cofnięcie licencji na główny rodzaj działalności.

Rozwiązania chroniące dane osobowe w Firmy rosyjskie i instytucje powstają w oparciu o środki o charakterze organizacyjno-technicznym. Muszą przestrzegać norm aktów prawnych: Konstytucji Federacji Rosyjskiej (art. 24), ustawy federalnej nr 152-FZ „O danych osobowych” oraz specjalnych wymagań organów regulacyjnych. Funkcje regulatorów realizują:

• Federalna Służba Nadzoru Komunikacji, Technologii Informacyjnych i komunikacja masowa- Roskomnadzor;
• Federalna Służba Kontroli Technicznej i Eksportu - FSTEC;
• Federalna Służba Bezpieczeństwa – FSB.

Roskomnadzor monitoruje wdrażanie przepisów dotyczących danych osobowych w ogóle, FSTEC i FSB formułują wymagania dotyczące metodologii, techniki i warunki organizacyjne bezpieczeństwo systemów informatycznych przetwarzających dane osobowe.

Co obejmuje pojęcie „danych osobowych”?

Zawarta jest definicja danych osobowych (PD). zgodnie z prawem 152-FZ.

Kluczową cechą interpretacji jest sformułowanie „wszelkie informacje”, co oznacza, że ​​prawo pozwala dosłownie wszystkim organizacjom zarejestrować się jako „operatorzy danych osobowych”. Logika jest jasna. Ubiegając się np. o pracę, osoba przekazuje pracodawcy wszystkie informacje o sobie, a zawierając np. umowę z osobą fizyczną, otrzymuje i przetwarza dane osobowe. Agencje rządowe, banki, sklepy internetowe, portale społecznościowe to tylko kilka przykładów z obszernej listy operatorów danych osobowych.

Sankcje za naruszenie prawa w zakresie przetwarzania i ochrony danych osobowych obejmują kary pieniężne (od 1 lipca 2017 r. ) Do odpowiedzialność administracyjna, postępowanie karne nie jest wykluczone.

Naruszenie procedury postępowania z danymi osobowymi grozi także utratą reputacja biznesowa. Ujawnianie takich faktów w firmie często staje się powodem odpływu klientów. Oznacza to, że aby spełnić wymagania 152-FZ i zastosować się do poleceń struktur regulujących i nadzorujących sferę danych osobowych - żywotna konieczność dla każdej firmy, która bezpośrednio lub pośrednio przetwarza dane osobowe.

Nie ma uniwersalnego podejścia do spełniania wymagań przez wszystkie organizacje podlegające kontroli organów regulacyjnych. Zgodnie z prawem dane osobowe dzielą się na cztery kategorie. Firmy tworzą system ochrony danych osobowych w zależności od kategorii, odpowiednio wymagania wobec operatora są różne.

Najbardziej złożonym i kosztownym procesem jestwdrożenie pełnoprawnego kompleksu zapewniającego bezpieczeństwo systemu informacji o danych osobowych (PDIS), który przetwarza informacje o rasie i narodowości podmiotu, wierze, stanie zdrowia, życiu intymnym, politycznym i poglądy filozoficzne. Wszystkie wymienione dane są zawarte w grupiespecjalny PD. Prawo wymaga szczególnej staranności w zakresie ochrony informacji tej kategorii.

Wymogi prawne dotyczące zapewnienia bezpieczeństwa ibiometryczne dane osobowe : cechy biologiczne i fizjologiczne umożliwiające identyfikację osoby, której dane dotyczą.

Operatorem staje się firma, która otrzymała pisemną zgodę Klienta na przetwarzanie imienia i nazwiska, daty i miejsca urodzenia, adresu domowego, danych zawodowych, danych kontaktowychpubliczny PO . Informacje te wykorzystywane są na przykład do tworzenia książek telefonicznych. Przepisy nakładają minimalne wymagania w zakresie ochrony publicznie dostępnych danych osobowych w porównaniu z innymi kategoriami.

Do czwartej kategorii -inne dane osobowe- zawierać wszelkie informacje, których nie można sklasyfikować jako specjalne, biometryczne lub specjalne, ale dzięki którym można zidentyfikować osobę, której dane dotyczą. Łatwiej chronić inne dane osobowe niż dane biometryczne czy specjalne. Wymagania bezpieczeństwa są jednak wyższe niż w przypadku systemów przetwarzania danych z kategorii publicznie dostępnych.

Zgodnie z dekretem rządu nr 1119 z dnia 1 listopada 2012 r. „W sprawie zatwierdzeniawymogi ochrony danych osobowych przy przetwarzaniu ich w systemach informatycznych danych osobowych” operatorzy tworząc mechanizmy ochrony muszą uwzględnić ich liczbę podmioty danych osobowych. Ustawodawstwo dzieli ISPD na te, w których dane przetwarza mniej niż 100 tys. i ponad 100 tys. podmiotów.

Zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie rozpoczyna się od identyfikacji najbardziej prawdopodobnych zagrożeń. Niezależnie od kategorii, celów przetwarzania i liczby podmiotów PD,system musi gwarantować ochronę przed nieautoryzowanymi transakcjami, w tym:

W infrastrukturze kompleksową ochronę ISPD musi wziąć pod uwagę możliwość obecności wewnętrznego intruza. Uszkodzenie danych osobowych może zostać spowodowane przez każdego pracownika, umyślnie lub w wyniku zaniedbania.

Środki pomagające zapobiegać nieautoryzowanemu dostępowi, zwiększać niezawodność i odporność na awarie ISPD oraz utrzymywać integralność i dostępność informacji w systemie są wymienione w 152-FZ. Prawo nakazuje:

1. Określić skalę systemu informatycznego i kategorię danych osobowych, modelować zagrożenia bezpieczeństwa.

2. Wdrażaj organizacyjne i techniczne mechanizmy bezpieczeństwa zgodnie z czterema poziomami bezpieczeństwa. Zawarto definicję poziomóww dekrecie rządowym nr 1119 .

3. Wykorzystaj fundusze bezpieczeństwo informacji, których możliwości potwierdzają certyfikaty zgodności wydane przez FSTEC i/lub FSB.

4. Przed rozpoczęciem przetwarzania PD przeprowadzić kompleksowy audyt bezpieczeństwa obejmujący audyt systemu informatycznego, elementów bezpieczeństwa, zgodność z wymaganiami wewnętrznych zarządzeń organizacyjnych i metodologicznych.

5. Wprowadzenie systemu rejestracji wszelkiego rodzaju nośników informacji o ograniczonym przeznaczeniu, w tym danych osobowych.

6. Wdrożenie w systemie informatycznym funkcji tworzenia kopii zapasowych i przywracania danych osobowych w przypadku nieuprawnionych zmian lub zniszczenia.

7. Ustalić zasady dostępu pracowników operatora do danych osobowych znajdujących się w systemie informatycznym. Poziomy dostępu należy podzielić na segmenty w oparciu o obowiązki służbowe.

8. Wdrażaj narzędzia do audytu i rejestrowania działań pracowników danymi osobowymi.

9. Monitoruj wdrażanie zasad bezpieczeństwa wykorzystania danych osobowych oraz ciągłości działania sprzętu ochronnego i usług oprogramowania ISPD.

Prawo federalne wyznacza ogólny „obszar ochronny” danych osobowych. Zawarte są szczegółowe standardyw zarządzeniu FSTEC z dnia 18.02.2013 nr 21. Na przykład:

1. System przetwarzania PD musi wykorzystywać identyfikację i uwierzytelnianie użytkowników, elementów systemu i danych osobowych – obiektów dostępu, których ochrona musi być zapewniona. Realizacja wymagania polega na porównaniu unikalne identyfikatory, które są przypisane do obiektów i tematów w ISPD. Oznacza to konieczność stosowania mechanizmów autoryzacji i wyznaczania uprawnień.

2. Środowisko oprogramowania musi być ograniczone, co oznacza obecność stałej listy oprogramowania systemowego i aplikacji. Należy uniemożliwić użytkownikowi zmianę zestawu komponentów systemu i dozwolonego oprogramowania. Użytkownik ma prawo do uruchomienia i korzystania z oprogramowania w zakresie swojej roli. Zapewni to ochronę przed przypadkowymi działaniami pracowników, które mogłyby spowodować uszkodzenie ISPD.

3. Przechowywanie i przetwarzanie danych osobowych na nośnikach wymiennych możliwe jest wyłącznie przy sprawnie działającym urządzeniu księgowym.

4. Operator musi zapewnić ciągłe monitorowanie bezpieczeństwa: prowadzić ścieżkę audytu zdarzeń, aby śledzić, co się wydarzyło i jakie działania zostały podjęte. Jednocześnie sam dziennik audytu powinien być niezawodnie chroniony przed modyfikacją i usunięciem.

5. System ochrony danych osobowych musi obejmować systemy oprogramowania antywirusowego. Złośliwe oprogramowanie często powoduje wycieki poufnych informacji i częściową (rzadziej całkowitą) awarię infrastruktury informatycznej.

6. Oprócz programu antywirusowego zaleca się stosowanie systemów wykrywania i zapobiegania włamaniom. Pozwala to analizować i identyfikować fakty dotyczące nieuprawnionego dostępu na poziomie sieci lub systemu komputerowego, prób przekroczenia uprawnień lub wprowadzenia szkodliwego oprogramowania, a także podjąć działania eliminujące zagrożenia: poinformowanie inspektora bezpieczeństwa, zresetowanie połączenia, zablokowanie ruchu itp.

7. Nieautoryzowane zmiany i uszkodzenia systemu informatycznego oraz danych osobowych rejestrowane są także przez systemy integralności, które zastosowane w systemie informatycznym muszą posiadać funkcje przywracania uszkodzonych elementów i informacji.

8. Poziom bezpieczeństwa ISPD podlega regularne monitorowanie. Zastosowane komponenty oprogramowania, narzędzia sprzętowe i zainstalowane ustawienia muszą zapewniać ciągłą i pełną ochronę procedur przetwarzania i przechowywania informacji, w oparciu o klasę ekspercką systemu informatycznego.

Lista środków ustanowionych przez FSTEC w celu wdrożenia systemu bezpieczeństwa ISPD nie ogranicza się do kilku punktów. Zamówienie nr 21 zawiera wymagania dotyczące narzędzi wirtualizacyjnych, kanałów komunikacji, konfiguracji ISPD, klas sprzętu komputerowego, systemów antywirusowych i innych parametrów zabezpieczeń. Oprócz nakazu FSTEC, wdrażając kompleks ochrony danych osobowych, organizacja przetwarzająca dane musi kierować się zarządzeniem FSB Rosji z dnia 10 lipca 2014 r. nr 378.

Opracuj i wdrożyj pełen zakres środków w celu Ochrona WNZ niemożliwe bez masteringu ramy regulacyjne, umiejętności konfiguracji środki techniczne oraz znajomość zasad oprogramowania zapewniających bezpieczeństwo informacji. Oznacza to, że ochrona danych osobowych przy pomocy jednego pracownika jest, delikatnie mówiąc, krótkowzroczna. Pojedynczy błąd na dowolnym poziomie może skutkować karami finansowymi ze strony organów regulacyjnych i utratą lojalności klientów.

Pracownik bez kompetencji w zakresie bezpieczeństwa informacji jest w stanie zrozumieć przepisy i określić kategorię danych osobowych. Instrukcje krok po kroku dostępne w Internecie pomogą opracować zasady informowania podmiotów PD o gromadzeniu informacji i sporządzić powiadomienie do Roskomnadzoru o działalności firmy jako operatora PD - to standardowe dokumenty. Definiowanie ról, wyznaczanie dostępu i rejestrowanie, którzy pracownicy mają dostęp i jakie operacje mogą wykonywać na danych osobowych, to łatwe zadanie dla specjalistycznego oprogramowania.

Nie da się obejść bez zaangażowania specjalisty posiadającego specjalistyczną wiedzę na etapie tworzenia i ustalania polityki bezpieczeństwa aktualne zagrożenia. Cykl wdrażania systemów oprogramowania i sprzętu, od wyboru po „bojowe” wykorzystanie oprogramowania i sprzętu, wymaga zrozumienia dokumentacji FSTEC i FSB. Specjalista musi nie tylko znać klasy SVT, programy antywirusowe i firewalle, ale także wiedzieć, jak zagwarantować poufność i zapewnić niezawodną komunikację dla segmentów ISDN.

Problem w tym, że nawet specjalista ds. informatyki lub bezpieczeństwa informacji posiadający niezbędne kwalifikacje nie będzie w stanie wdrożyć i utrzymać podsystemu bezpieczeństwa informacji w ISPD bez spełnienia szeregu warunków. Praca z funduszami zabezpieczenie techniczne- działalność licencjonowana przez FSTEC. Oznacza to, że operator PD stanie przed zadaniem uzyskania licencji od regulatora.

W przypadku dużych organizacji wskazane jest zatrudnienie kadry specjalistów ds. bezpieczeństwa informacji, spełnienie warunków do uzyskania licencji FSTEC, a następnie samodzielne stworzenie i utrzymanie systemu zapewniającego ochronę danych osobowych.

Utrzymywanie personelu zajmującego się bezpieczeństwem informacji jest nieopłacalne ekonomicznie dla małych organizacji przetwarzających dane osobowe. Tańszą, rozsądniejszą i szybszą opcją byłoby przyciągnięcie licencjobiorców FSTEC. Są to organizacje, które zawodowo zajmują się bezpieczeństwem informacji. Specjaliści licencjobiorcy posiadają już całą wiedzę na temat ram regulacyjnych i technicznych, mają doświadczenie w tworzeniu złożone systemy bezpieczeństwo, w tym bezpieczeństwo informacji.

Skomentuj Prawo federalne z dnia 27 lipca 2006 r N 152-FZ „O danych osobowych” Pietrow Michaił Igorewicz

Art. 23. Organ uprawniony do ochrony praw osób, których dane osobowe dotyczą

Artykuł 23.

Upoważniony organ ochrony praw osób, których dane osobowe dotyczą

Komentarz do artykułu 23

1. W komentowanym artykule określono główne kierunki kontroli i nadzoru państwa nad działalnością podmiotów przetwarzających dane osobowe, a także uprawnienia, funkcje i kompetencje organów je wykonujących. Ustalona jest kontrola państwa (nadzór). aktualne ustawodawstwo nic innego jak przeprowadzenie audytu zgodności przez osobę prawną lub osobę fizyczną podczas wykonywania swojej działalności wymagania obowiązkowe do towarów (robót, usług) ustanowionych na mocy ustaw federalnych lub normatywnych aktów prawnych przyjętych zgodnie z nimi (klauzula 1 art. 2 ustawy federalnej z dnia 8 sierpnia 2001 r. N 134-FZ „W sprawie ochrony praw osób prawnych i przedsiębiorcy indywidualni w okresie kontroli (nadzoru) państwa”).

Usposobienie tego artykułu ma jasno wyrażony tradycyjny charakter, który wskazuje, kto jest uprawniony do realizacji funkcji kontrolnych i nadzorczych w wyznaczonym obszarze działalności, identyfikuje główne uprawnienia tego ostatniego i kończy się deklarowanym prawem do odwołania odpowiednich decyzji podjętych w procesie ich wdrożenia w zależności od istoty sprawy.

Celem stosowania przepisów sformułowanych w tym artykule uprawnienia kontrolne dla nadzoru nad działalnością operatora priorytetem jest ochrona praw osób, których dane dotyczą oraz konieczność spełnienia w tym celu wymogów niniejszej ustawy.

Specyfika tego artykułu polega na tym, że przepisy tego ostatniego odzwierciedlają tylko jeden z aspektów kontroli państwa nad działalnością operatora, prowadzonej wyłącznie w ramach przedmiotowej ustawy federalnej w celu przestrzegania jej wymogów i ścisłego przestrzegania przez ten ostatni z ich obowiązków, którego zakres formułują normy rozdziału 4. W tym zakresie Ustawodawca zauważa, że ​​realizacja kontroli państwa i nadzoru nad działalnością operatora powierzona jest specjalnie upoważnionemu organowi rządowemu, który wykonuje funkcje kontroli i nadzoru w dziedzinie technologii informatycznych i łączności. Zgodnie z Dekretem Prezydenta Federacji Rosyjskiej z dnia 9 marca 2004 r. N 314, utworzono Federalną Służbę Nadzoru w Sferze Łączności, przekazując jej funkcje kontrolne w dziedzinie łączności zlikwidowanego Ministerstwa Federacji Rosyjskiej ds. Łączności i Informacji, a także funkcje nadzoru państwowego w tym obszarze. Jak wynika z dekretu Rządu Federacji Rosyjskiej z dnia 30 czerwca 2004 r. N 318 „Po zatwierdzeniu Regulaminu Federalnej Służby Nadzoru w Sferze Łączności” Federalna Służba Nadzoru w Sferze Łączności jest organem federalnym władza wykonawcza, realizując funkcje kontrolne i nadzorcze w zakresie technologii informatycznych i łączności.

2. Federalna Służba Nadzoru w Sferze Łączności podlega Ministerstwu Technologii Informacyjnych i Łączności Federacji Rosyjskiej. Federalna Służba Nadzoru Łączności kieruje się w swojej działalności Konstytucją Federacji Rosyjskiej, federalną prawa konstytucyjne, ustaw federalnych, aktów Prezydenta Federacji Rosyjskiej i Rządu Federacji Rosyjskiej, traktaty międzynarodowe Federacji Rosyjskiej, regulacyjne akty prawne Ministerstwa Technologii Informacyjnych i Łączności Federacji Rosyjskiej. Federalna Służba Nadzoru w Sferze Łączności prowadzi swoją działalność bezpośrednio i poprzez swoje organy terytorialne w porozumieniu z innymi federalnymi władzami wykonawczymi, władzami wykonawczymi podmiotów Federacji Rosyjskiej, władzami samorząd lokalny, stowarzyszenia publiczne i inne organizacje. Na czele Federalnej Służby Nadzoru Łączności stoi dyrektor powoływany i odwoływany przez Rząd Federacji Rosyjskiej na wniosek Ministra Technologii Informacyjnych i Łączności Federacji Rosyjskiej.

Szef Federalnej Służby Nadzoru w Sferze Łączności jest osobiście odpowiedzialny za realizację uprawnień powierzonych Federalnej Służbie Nadzoru w Sferze Łączności. Szef Służby posiada zastępców, których powołuje i odwołuje Minister Informatyki i Łączności Federacji Rosyjskiej na wniosek Szefa Służby. Liczbę zastępców szefów Służby ustala Rząd Federacji Rosyjskiej.

Finansowanie wydatków na utrzymanie Federalnej Służby Nadzoru w Sferze Łączności i jej organów terytorialnych odbywa się ze środków przewidzianych w art. budżet federalny. Federalna Służba Nadzoru Łączności jest osobą prawną, posiada pieczęć z wizerunkiem godła państwowego Federacji Rosyjskiej oraz jej nazwą, innymi pieczęciami, pieczęciami i formularzami ustalona próbka, rachunki otwarte zgodnie z ustawodawstwem Federacji Rosyjskiej. Lokalizacja Federalnej Służby Nadzoru w Sferze Łączności - Moskwa.

3. Funkcje Federalnej Służby Nadzoru w Sferze Łączności, warunkowo reprezentowane w komentowanym artykule, w zakresie monitorowania zgodności przetwarzania danych osobowych z wymogami niniejszej ustawy, można podzielić na następujące obszary:

1) organizacyjno-administracyjne: prowadzenie rejestru przedsiębiorców;

przedstawianie Rządowi Federacji Rosyjskiej propozycji usprawnienia regulacji regulacja prawna ochrona praw osób, których dane osobowe dotyczą;

organizowanie, zgodnie z wymogami niniejszej ustawy federalnej i innych przepisów federalnych, ochrony praw osób, których dane dotyczą;

2) kontrole faktyczne:

przeprowadzenie weryfikacji informacji zawartych w zawiadomieniu o przetwarzaniu danych osobowych lub zaangażowanie innych organów administracji rządowej w granicach ich uprawnień do przeprowadzenia takiej weryfikacji;

podjęcie, zgodnie z procedurą ustanowioną przez ustawodawstwo Federacji Rosyjskiej, środków w celu zawieszenia lub zakończenia przetwarzania danych osobowych prowadzonego z naruszeniem wymogów niniejszej ustawy federalnej;

iść do sądu z oświadczenia o roszczeniach w celu ochrony praw osób, których dane dotyczą, oraz reprezentowania interesów osób, których dane dotyczą, przed sądem;

pociągnięcie do odpowiedzialności administracyjnej osób winnych naruszenia niniejszej ustawy federalnej;

3) nadzorczy:

żądania od osób fizycznych lub prawnych informacji niezbędnych do wykonywania ich uprawnień i otrzymywania takich informacji bezpłatnie;

żądania od operatora wyjaśnienia, zablokowania lub zniszczenia nieprawidłowych lub nielegalnie uzyskanych danych osobowych;

podjąć, w sposób określony przez ustawodawstwo Federacji Rosyjskiej, na wniosek federalnego organu wykonawczego upoważnionego w dziedzinie bezpieczeństwa lub federalnego organu wykonawczego upoważnionego w dziedzinie zwalczania wywiadu technicznego i technicznej ochrony informacji, środki mające na celu zawiesić lub zakończyć przetwarzanie danych osobowych;

4) koordynacja:

przesłanie wniosku do organu wydającego koncesję na działalność operatora w celu rozważenia podjęcia działań w celu zawieszenia lub unieważnienia odpowiedniej licencji w trybie przewidzianym przez ustawodawstwo Federacji Rosyjskiej, jeżeli warunkiem uzyskania licencji na prowadzenie tej działalności jest zakaz przenoszenia przekazywania danych osobowych podmiotom trzecim bez pisemnej zgody podmiotu danych osobowych;

przekazać do prokuratury, innym organy ścigania materiały do ​​rozwiązania kwestii wszczynania spraw karnych w oparciu o przestępstwa związane z naruszeniem praw osób, których dane dotyczą, zgodnie z jurysdykcją;

informowania organów rządowych, a także osób, których dane dotyczą, na ich żądania lub prośby, o stanie rzeczy w zakresie ochrony praw osób, których dane dotyczą.

Ustawa ta przyznaje federalnemu organowi wykonawczemu uprawnienia do sprawowania funkcji kontrolnych i nadzorczych nad działalnością operatorów wyłączne uprawnienia, którego realizacja nie jest obciążona dodatkowe warunki. Jedynym wyjątkiem w tym zakresie jest realizacja czynności kontrolnych i audytowych, których realizacja po pierwsze odbywa się ściśle według wcześniej opracowanego planu, po drugie przedmiotem kontroli jest zgodność przetwarzania danych osobowych danych z wymogami tej ustawy, oraz - po trzecie, w trakcie wykonywania swojej działalności należy zapewnić poufność danych osobowych. Tym samym ustalono ścisłą celową orientację działań w procesie realizacji tego typu wydarzeń.

4. Środek kontrolny - zespół działań urzędników państwowych organów kontroli (nadzoru) związanych ze sprawdzeniem zgodności osoby prawnej lub osoby fizycznej z obowiązkowymi wymaganiami, przeprowadzeniem niezbędnych badań (testów), egzaminami, zarejestrowaniem wyników kontroli oraz podejmowanie działań w oparciu o wyniki środka kontrolnego. Działania kontrolne przeprowadzane są na podstawie wcześniej zatwierdzonego planu i wydanego na jego podstawie dokumentu (uchwała, zarządzenie itp.) upoważniającego do wykonania określonych czynności. Częstotliwość kontroli nie jest określona przez prawo. Prawdopodobnie w odniesieniu do każdego biura można przeprowadzać zaplanowane inspekcje historie kredytowe nie częściej niż raz w roku. Planowane inspekcje planuje się przeprowadzać co rok, dwa lub trzy lata.

Oprócz zaplanowanych dopuszczalne jest przeprowadzanie nieplanowanych działań kontrolnych. Kontrole nieplanowane przeprowadzane są:

weryfikacja wykonania poleceń w celu usunięcia wcześniej stwierdzonych naruszeń prawa;

w przypadku odkrycia wystarczających danych wskazujących na występowanie przestępstw lub otrzymania innych dowodów wskazujących na obecność oznak naruszenia prawa.

Nieplanowane działania kontrolne są przeprowadzane przez państwowe organy kontroli (nadzoru) także w przypadku obywateli, osób prawnych i indywidualnych przedsiębiorców składających skargi dotyczące naruszenia ich praw i uzasadnionych interesów w wyniku działań (bierności) innych osób prawnych i (lub) indywidualnych przedsiębiorców związane z nieprzestrzeganiem przez nich obowiązkowych wymagań, a także uzyskanie innych informacji popartych dokumentami i innymi dowodami wskazującymi na obecność oznak takich naruszeń. Nieplanowane działania kontrolne mogą być prowadzone wg umotywowana decyzja państwowy organ kontroli (nadzoru), w tym w odniesieniu do innych osób prawnych świadczących odpowiednie jednolite usługi.

Odwołania niepozwalające na identyfikację osoby, która zwróciła się do organu kontroli (nadzoru) państwowego, nie mogą być podstawą do przeprowadzenia nieplanowanej kontroli. Środki kontrolne przeprowadzane są na podstawie zarządzeń (rozkazów) organów kontroli państwowej (nadzoru). Polecenie (nakaz) przeprowadzenia działań kontrolnych wskazuje:

numer i data polecenia (nakazu) przeprowadzenia środka kontrolnego;

nazwisko, imię, nazwisko rodowe i stanowisko osoby(osób) upoważnionej(ych) do przeprowadzenia środka kontrolnego;

nazwa osoby prawnej, w stosunku do której przeprowadzany jest środek kontrolny;

cele, zadania i przedmiot realizowanych działań kontrolnych;

podstawy prawne dokonywania czynności kontrolnych, w tym regulacyjnych akty prawne, których obowiązkowe wymagania podlegają weryfikacji; datę rozpoczęcia i zakończenia czynności kontrolnej.

Polecenie (nakaz) przeprowadzenia czynności kontrolnej lub jego zapieczętowany egzemplarz urzędnik przeprowadzający czynność kontrolną przedstawia kierownikowi lub innemu urzędnikowi osoby prawnej jednocześnie z dowodem osobistym.

Czynność kontrolną może przeprowadzić wyłącznie funkcjonariusz (osoby) wskazany w zleceniu (nakazu) na środku kontrolnym.

Czas trwania czynności kontrolnych nie powinien przekraczać jednego miesiąca. W wyjątkowych przypadkach, związanych z koniecznością przeprowadzenia specjalnych badań (testów), badań ze znaczną liczbą środków kontrolnych, na podstawie uzasadnionego wniosku urzędnika przeprowadzającego środek kontrolny, kierownik państwowego organu kontroli (nadzoru) lub jego zastępca, termin na wykonanie czynności kontrolnej może zostać przedłużony, nie więcej jednak niż o jeden miesiąc. W celu sprawdzenia przestrzegania przez osoby prawne lub osoby fizyczne obowiązkowych wymagań, państwowy organ kontroli (nadzoru) w ramach swoich kompetencji przeprowadza zaplanowane działania kontrolne.

W stosunku do jednej osoby prawnej lub osoby fizycznej każdy organ kontroli państwowej (nadzoru) może przeprowadzić planowaną czynność kontrolną nie częściej niż raz na dwa lata. W przypadku małego przedsiębiorcy planowany zabieg kontrolny można przeprowadzić nie wcześniej niż po trzech latach od dnia jego rejestracji państwowej.

Kontrola nieplanowana, której przedmiotem jest monitorowanie wykonania poleceń w celu usunięcia stwierdzonych naruszeń, podlega działaniom osoby prawnej lub osoby fizycznej, gdy w wyniku zaplanowanego zdarzenia monitorującego zostaną stwierdzone naruszenia obowiązkowych wymagań. Wykonując czynności kontrolne, funkcjonariusze organów kontroli państwowej (nadzoru) nie są uprawnieni do:

weryfikować zgodność z obowiązkowymi wymaganiami, które nie wchodzą w zakres kompetencji państwowego organu kontroli (nadzoru), w imieniu którego działają urzędnicy;

przeprowadzać zaplanowane kontrole pod nieobecność urzędników lub pracowników kontrolowanych osób prawnych lub ich przedstawicieli podczas czynności kontrolnych;

żądać okazania dokumentów, informacji, próbek (próbek) produktów, jeżeli nie są one przedmiotem środków kontroli i nie dotyczą przedmiotu kontroli, a także zająć oryginały dokumentów związanych z przedmiotem kontroli;

żądać próbek (próbek) produktów w celu przeprowadzenia swoich badań (badań), badania bez wydawania ustawy o doborze próbek (próbek) produktów w określonej formie i w ilościach przekraczających ustalone normy standardy państwowe lub inne dokumenty regulacyjne;

rozpowszechniać informacje stanowiące tajemnicę prawnie chronioną, a uzyskane w wyniku zastosowanych środków kontrolnych, z wyjątkiem przypadków przewidziane prawem RF;

przekraczać ustalonych terminów przeprowadzenia działań kontrolnych.

Na podstawie wyników zdarzenia kontrolnego urzędnik (osoby) państwowego organu kontroli (nadzoru) przeprowadzający kontrolę sporządza akt ustalona forma w duplikacie.

Ustawa określa:

data, godzina i miejsce sporządzenia aktu;

nazwa organu kontroli państwowej (nadzoru);

data i numer zlecenia, na podstawie którego przeprowadzono czynność kontrolną;

nazwisko, imię, patronimika i stanowisko osoby (osób), która przeprowadziła zdarzenie kontrolne;

imię i nazwisko kontrolowanej osoby prawnej lub nazwisko, imię, patronimika osoby fizycznej, nazwisko, imię, patronimika, stanowisko przedstawiciela osoby prawnej lub przedstawiciela osoby fizycznej obecnej podczas zdarzenia kontrolnego;

data, godzina i miejsce zdarzenia kontrolnego;

informacje o wynikach działań kontrolnych, w tym o stwierdzonych naruszeniach, ich charakterze i osobach, które ponoszą odpowiedzialność za popełnienie tych naruszeń;

informację o zapoznaniu się lub odmowie zapoznania się z aktem przedstawiciela osoby prawnej lub osoby fizycznej, a także osób obecnych podczas czynności kontrolnej, ich podpisami lub odmową podpisania;

podpis urzędnika(-ów), który przeprowadził środek kontrolny.

Jeden egzemplarz aktu wraz z kopiami załączników doręcza się kierownikowi osoby prawnej lub jego zastępcy oraz przedsiębiorcy indywidualnemu lub ich przedstawicielom za podpisem lub przesyła się pocztą za potwierdzeniem odbioru, który dołącza się do odpisu aktu pozostające w aktach organu kontroli państwowej (nadzoru).

Jeżeli w wyniku naruszenia administracyjnego zostanie zidentyfikowany urzędnik państwowego organu kontroli (nadzoru), sporządzany jest protokół w sposób określony w ustawodawstwie Federacji Rosyjskiej w sprawie wykroczeń administracyjnych i wydawane są instrukcje mające na celu wyeliminowanie zidentyfikowane naruszenia.

Wyniki czynności kontrolnej, zawierające informacje stanowiące informacje poufne(bankowa, podatkowa, handlowa lub inna tajemnica prawnie chroniona) są sformalizowane zgodnie z wymogami przewidzianymi w ustawodawstwie Federacji Rosyjskiej w sprawie ochrony tajemnicy państwowej.

Operatorzy mają prawo prowadzić dziennik czynności kontrolnych. W dzienniku czynności kontrolnych urzędnik państwowego organu kontroli (nadzoru) dokonuje zapisu przeprowadzonej kontroli, zawierającego informacje o nazwie państwowego organu kontroli (nadzoru), dacie i godzinie zdarzenia kontrolnego, podstawy prawne, cele, zadania i przedmiot środka kontrolnego, o stwierdzonych naruszeniach, o sporządzonych protokołach, o wykroczeniach administracyjnych i o wydanych zarządzeniach, a także wskazać nazwisko, imię, patronimikę, stanowisko osoby (osób), która przeprowadziła środka kontrolnego i jego (ich) podpis. Dziennik czynności kontrolnych musi być zszyty, ponumerowany i poświadczony pieczęcią osoby prawnej lub fizycznej. W przypadku braku dziennika działań kontrolnych dokonuje się odpowiedniego wpisu w akcie sporządzonym na podstawie wyników podjętych działań kontrolnych.

5. Jeżeli w wyniku działań monitorujących zostaną stwierdzone naruszenia przez operatora wymagań, urzędnicy organów kontroli państwowej (nadzoru), w ramach uprawnień przewidzianych przez ustawodawstwo Federacji Rosyjskiej, są zobowiązani do podjęcia działań w celu kontroli eliminowanie stwierdzonych naruszeń, zapobieganie im i zapobieganie ewentualnym naruszeniom praw interesy majątkowe zainteresowanymi stronami, a także środki mające na celu postawienie przed sądem osób, które dopuściły się naruszeń. Organ kontroli państwowej (nadzoru) może wystąpić do sądu z roszczeniem o zwrot wydatków na przeprowadzenie badań (testów) i egzaminów, w wyniku których stwierdzono naruszenia obowiązkowych wymagań.

Funkcjonariusze organów kontroli państwowej (nadzoru) podczas wykonywania czynności kontrolnych są zobowiązani do:

terminowo i w pełni wypełniać uprawnienia przyznane zgodnie z ustawodawstwem Federacji Rosyjskiej w celu zapobiegania, identyfikowania i zwalczania naruszeń obowiązkowych wymagań;

przestrzegać ustawodawstwa Federacji Rosyjskiej, praw i uzasadnionych interesów operatorów;

przeprowadzać środki kontrolne na podstawie i ściśle zgodnie z poleceniami państwowych organów kontrolnych (nadzorczych) w sprawie przeprowadzania środków kontrolnych w sposób określony w art. 8 ustawy federalnej „W sprawie ochrony praw osób prawnych i przedsiębiorców indywidualnych podczas kontroli państwowej (nadzoru)”;

wizytowania obiektów Operatora (terytoriów i obiektów) w celu przeprowadzenia działań kontrolnych wyłącznie w trakcie realizacji obowiązki służbowe po okazaniu dokumentu tożsamości i nakazu organów kontroli państwowej (nadzoru) przeprowadzenia czynności kontrolnych;

nie uniemożliwiać przedstawicielom operatora obecności podczas czynności kontrolnych i udzielania wyjaśnień w kwestiach związanych z przedmiotem kontroli;

udzielić podmiotom lub ich przedstawicielom obecnym podczas zdarzenia kontrolnego niezbędnych informacji związanych z przedmiotem kontroli;

zapoznać operatora lub jego przedstawicieli z wynikami środków kontrolnych;

udowodnić legalność swoich działań, gdy operator zaskarży je w sposób określony w ustawodawstwie Federacji Rosyjskiej.

Organy kontroli państwowej (nadzoru) i ich urzędnicy, w przypadku niewłaściwego wykonywania swoich funkcji i obowiązków służbowych podczas wykonywania środków kontrolnych, popełniają nielegalne działania(bierność) ponoszą odpowiedzialność zgodnie z ustawodawstwem Federacji Rosyjskiej. Za niewłaściwe wykonywanie swoich funkcji i obowiązków służbowych podczas czynności kontrolnych, a także za popełnienie nielegalnych działań (bierność) funkcjonariusze organów kontroli państwowej (nadzoru) mogą ponieść odpowiedzialność dyscyplinarną, administracyjną, karną i inną zgodnie z przepisami prawa Federacji Rosyjskiej.

Szkoda wyrządzona operatorowi w wyniku działań (bierności) urzędników organów kontroli państwowej (nadzoru) podczas kontroli państwowej (nadzoru), uznana za niezgodną z prawem w sposób określony przez ustawodawstwo Federacji Rosyjskiej, podlega naprawieniu w zgodnie z prawem cywilnym.

Organy kontroli państwowej (nadzoru) mają obowiązek corocznie informować Prezydenta Federacji Rosyjskiej, Rząd Federacji Rosyjskiej oraz Zgromadzenie Federalne RF.

6. Zgodnie z zarządzeniem Federalnej Służby Nadzoru w Sferze Łączności z dnia 30 czerwca 2005 r. N 25 „O wsparcie informacyjne działalność Federalnej Służby Nadzoru w Dziedzinie Łączności” przygotowanie informacji o działalności Federalnej Służby Nadzoru w dziedzinie Łączności odbywa się zgodnie z wymogami uchwały Rządu Federacji Rosyjskiej z lutego 12.2003 N 98 „W sprawie zapewnienia dostępu do informacji o działalności Rządu Federacji Rosyjskiej i władz federalnych organów wykonawczych” oraz z dnia 30 czerwca 2004 r. N 318 „W sprawie zatwierdzenia Regulaminu Federalnej Służby Nadzoru w Sferze Komunikacji”, Koncepcja wykorzystania technologii informatycznych w działalności organów rządu federalnego do 2010 roku, zatwierdzona zarządzeniem Rządu Federacji Rosyjskiej z dnia 24 września 2004 r. N 1244-r.

Informacje o działalności Federalnej Służby Nadzoru Łączności (zwanej dalej Rossvyaznadzor) są przeprowadzane w celu:

zapewnienie jawności i jawności regulacyjnych aktów prawnych i obowiązkowych wymagań dotyczących działalności w dziedzinie technologii informatycznych i komunikacji;

zapewnienie przejrzystości procedur Rossvyaznadzor i jego organów terytorialnych w celu monitorowania zgodności z ustalonymi obowiązkowymi wymogami, warunkami wydawania licencji i procesem decyzyjnym;

zapewnienie otwartości Rosswiaznadzoru poprzez informowanie opinii publicznej o działalności Rosswiaznadzoru i jego organów terytorialnych;

podnoszenie jakości usług komunikacyjnych i zapewnienie przestrzegania obowiązkowych wymogów poprzez informowanie społeczeństwa o naruszeniach popełnianych przez operatorów telekomunikacyjnych i środkach podjętych w celu ich zaradzenia;

ochrona praw i uzasadnionych interesów użytkowników usług komunikacyjnych poprzez informowanie o ich prawach i obowiązkach, o trybie składania reklamacji w przypadku naruszenia ich praw i uzasadnionych interesów;

dostęp obywateli i organizacji do informacji z rejestrów prowadzonych przez Rosswiaznadzor;

zapewnienie wsparcia informacyjnego i pomoc metodologiczna osoby prowadzące działalność w zakresie technologii informatycznych i komunikacyjnych, gdy sformalizują to konieczne dokumenty zezwalające i licencje;

zwiększenie wydajności interakcja międzywydziałowa w polu administracja publiczna w dziedzinie technologii informatycznych i komunikacji.

Informacje o działalności Rossvyaznadzor są publikowane w oficjalnej publikacji Ministerstwa Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej oraz w innych środkach środki masowego przekazu oraz na oficjalnej stronie internetowej Rossvyaznadzor portalu informacyjnego Ministerstwo www.minsvyaz.ru w sekcji „Federalna Służba Nadzoru w Sferze Łączności”. Materiały informacyjne publikowane w serwisie muszą mieć charakter niejawny (posiadać czytelną charakterystykę klasyfikacyjną przy ustalaniu poziomu szczegółowości) i spersonalizowany (opatrzony specjalistycznymi informacjami adresowymi i analitycznymi).

Osoby udzielające oficjalna informacja o działalności Rossvyaznadzor to:

Szef Federalnej Służby Nadzoru Łączności; Zastępcy szefa Federalnej Służby Nadzoru Łączności; menedżerowie podziały strukturalne biuro centralne Federalna Służba Nadzoru Łączności;

szefowie organów terytorialnych Federalnej Służby Nadzoru Łączności; upoważniony urzędnik Rosswiaznadzoru.

7. Federalna Służba Nadzoru Łączności jest daleka od tego jedyne ciało, uprawnionych do sprawowania państwowego nadzoru i kontroli nad działalnością operatorów. Te ostatnie podlegają w takim samym stopniu kontrolom innych podmiotów nadzorczych, jak inne organizacje (osoby fizyczne) zarejestrowane w sposób przewidziany przepisami prawa, niezależnie od rodzaju działalności tych ostatnich.

Działalność biura historii kredytowej można ustalić:

kontrola podatkowa;

kontrola walutowa;

nadzór bankowy i ubezpieczeniowy oraz inne rodzaje szczególnej kontroli państwa nad działalnością osób prawnych i przedsiębiorców indywidualnych na rynku finansowym;

kontrolę nad zapewnieniem ochrony informacji poufnych;

poszukiwania operacyjne, dochodzenie, dochodzenie wstępne, nadzór prokuratorski i sprawiedliwość.

W porównaniu z wymienionymi realizowanymi funkcjami kontrolnymi i nadzorczymi Służba federalna do nadzoru w dziedzinie łączności są szczególne. Specjalizację tych ostatnich wyznacza przedmiot regulacji oraz zakres tej ustawy w części, w której wpływa ona na działalność operatorów (prawa i obowiązki tych ostatnich).