Įdarbinimas

Užsakyti 152 dėl asmens duomenų naujausias leidimas. Federalinis įstatymas „Dėl asmens duomenų. Reglamento taikymo srities išimtys

08.09.2019

Šiame straipsnyje mes aiškiai ir prieinamai (gerai, jei įmanoma) pabandysime paaiškinti, kaip gyventi įprastą internetinį verslą federalinio įstatymo N 152 „Dėl asmens duomenų“ laikais. Tiksliau, mes jums pasakysime, kaip nuo to apsisaugoti.

Taigi, pradedantiesiems, turėtumėte atsiminti, kad vardas, telefono numeris, paštas, adresas ir kiti duomenys, apibūdinantys konkretų asmenį, yra Asmeninis. Ir jų gavimas, net ir pokalbio telefonu, yra jų apdorojimas. Taigi, absoliučiai bet kurios komercinės svetainės veikla patenka į naują nuostabų įstatymą. Ura, bendražygiai.

Kodėl bijoti?

Nuo 2017 m. liepos 1 d. Rusijos Federacijos administracinių nusižengimų kodekso 13.11 straipsnyje atsirado naujų asmens duomenų srities teisės aktų pažeidimų požymių (buvo 1, tapo 7).
Baudų dydis padidėjo nuo 10 000 iki 290 000 rublių. Maksimalus baudų dydis gresia pažeidusiems absoliučiai visus BK 1-6 dalių reikalavimus. Rusijos Federacijos administracinių nusižengimų kodekso 13.11 str. Tai gana sunku, bet daugiau apie tai žemiau.

Kas bus nubaustas?

Operatoriams, tai yra tiems, kurie tvarko asmens duomenis, įskaitant tuos, kurie juos renka, bus skirta bauda. Paprasta vardo ir telefono numerio (arba el. pašto) užklausa jau apdorojama.
Norint patvirtinti, kad tvarkote asmens duomenis, „Roskomnadzor“ užteks tik pamatyti atsiliepimo formą jūsų svetainėje, užsiprenumeruoti naujienlaiškį arba turėti galimybę užsiregistruoti jūsų asmeninėje paskyroje. Tokiais atvejais jums galioja įstatymai ir jums gali būti taikoma asmens duomenų patikra.
Todėl mes sukūrėme gynėją pagal federalinį įstatymą N 152.

Esame Callibri.ru klientai, kaip būti legaliems?

Gynėjas iš federalinio įstatymo 152 – dokumentų generavimo sistema, kad jūsų ir mūsų verslas veiktų visiškai laikydamiesi federalinio įstatymo N 152 reikalavimų.

Štai ką reikia padaryti:

Štai kaip tai atrodo:

Svarbu!

Tai viskas? Dabar nesilaikysiu 290 tr?

Ne visai. Apsauga veikia tik jei:

  • duomenų rinkimo metodai nesiskiria nuo tų, kuriuos pasirinkote nustatymuose;
  • duomenų rinkimo tikslai nesiskiria nuo tų, kuriuos pasirinkote nustatymuose;
  • rinkimui ir apdorojimui nesinaudojate kitomis paslaugomis, išskyrus Callibri.ru.

Visais kitais atvejais gali kilti problemų. Apie juos žemiau.

Naudojuosi kitomis paslaugomis, kurios renka asmens duomenis. Kaip būti legaliam?

Ištrinkite viską po velnių. Negalime būti laikomi atsakingais už kitų paslaugų atitiktį Federalinio įstatymo N 152 „Dėl asmens duomenų“ reikalavimams. Gerai, kad mūsų portfelyje yra viskas, ko jums reikia: skambučių sekimas, atgalinis skambutis, skambutis internetu, programa ir internetinis konsultantas.
Prijunkite Callibri

Bet jei tikrai norite naudotis kitomis paslaugomis ir (arba) savo tikslais ir (arba) asmens duomenų tvarkymo būdais skirtinga iš Callibri.ru pasiūlytų, tuomet turėsite pasitelkti išorės konsultantus, kad jie parengtų dokumentus, susijusius su asmens duomenų tvarkymu, juos įgyvendintų ir lauktų, kol Roskomnadzor patikrins ir pagal rezultatus skirs baudas. Ir tai yra iki 290 tr.

Nuo ko būtent Gynėjas išgelbės?

Pirma, jūsų svetainė atitiks visus teisinius reikalavimus (Federalinio įstatymo N 152 „Dėl asmens duomenų“ 2 skirsnio 2 dalis, 5 straipsnis, 1 dalis, 2 dalis, 18.1 straipsnis). Tai labai sumažina peržiūros inicijavimo riziką ir padidina jūsų patikimumą klientų akyse. Antra, „Roskomnadzor“ neturės priežasties:

  • Bauda iki 30 000 rublių. už neribotos prieigos prie Politikos nesuteikimą (Rusijos Federacijos administracinių nusižengimų kodekso 13.11 straipsnio 3 dalis).
    Pavyzdžiui: nubausti už Politikos nebuvimą svetainėje.
  • Bauda iki 50 000 rublių. už asmens duomenų tvarkymą, nesuderinamą su rinkimo tikslais.
    Pvz.: pristatote prekes ir prašote nuskaityti pasą, kai pristatymui užtektų paprasto vardo ir adreso.

Ar pranešite Roskomnadzor apie mus už mus?

Ne, mes to nedarysime. Tai nereikalinga. Telaimina Dievas. Dabar.

Kodėl nereikia pranešti „Roskomnadzor“?

Pagal 2 str. 22 FZ N 152, operatorius turi teisę tvarkyti asmens duomenis kai kuriais atvejais nepranešęs Roskomnadzor. Mes jų visų neišvardinsime, bet svarbiausia yra:
Operatorė gauna sudarydama sutartį, kurios šalis yra asmens duomenų subjektas, jei asmens duomenys nėra platinami ir neteikiami trečiosioms šalims be asmens duomenų subjekto sutikimo ir yra naudojami operatoriui tik dėl minėtos sutarties vykdymo ir sutarčių su asmens duomenų subjektu sudarymo;
Tie. jei asmens duomenys, kuriuos renkate ir tvarkote

  • nėra teikiami tretiesiems asmenims be asmens duomenų subjekto sutikimo;
  • yra naudojami tik sutarčiai, dėl kurios sudarymo jie buvo gauti, vykdyti ir sutarčių su asmens duomenų subjektu sudarymui;

Nebūtina pranešti „Roskomnadzor“!

Ir daug kas sako, kad jiems reikia...

Įstatymas prieštaringas, šia tema yra daug nesąžiningų teisininkų nuomonių, interpretacijų ir spėliojimų. Teismų praktikos dar nėra. Taigi atminkite: visame pasaulyje turite 3 pasirinkimus

  1. Būkite visiškai neteisėti. Nėra čia apie ką mums kalbėti. Rizika yra daug didesnė, nei aprašyta šiame straipsnyje;
  2. Dirbkite legaliai, dėka Callibri dokumentų. Bet nepraneškite „Roskomnadzor“;
  3. Dirbti legaliai ir pranešti Roskomnadzor bei būti asmens duomenų operatorių registre.

Rekomenduojame 2 variantą, nes tokiu atveju Jūsų laikas ir pastangos bus 30 minučių (šio straipsnio skaitymui, anketos pildymui ir užsakymo pasirašymui). O didžiausia bauda, ​​jei „Roskomnadzor“ kažkas nepatinka (tai yra už pranešimo nebuvimą), bus 5 tūkstančiai rublių (juridiniams asmenims).
3 variante jums reikės daugiau pastangų ir pinigų, o planinio patikrinimo tikimybė žymiai padidės.
Todėl manome, kad mūsų FZ N 152 apsaugos konstruktoriaus užteks daugumai įmonių.

Ar reikia įspėti visus lankytojus apie slapukų tvarkymą?

Čia kaip visada du teisininkai – trys nuomonės. Mūsų teisininkai mano, kad informacija iš slapukų pati savaime nėra asmens duomenys, atskirai nuo kitos informacijos apie vartotoją. Sklando gandai, kad „Roskomnadzor“ į tai kol kas nekreipia dėmesio. Tačiau, jei norite būti visiškai apdrausti, paprašykite savo svetainės kūrėjų pridėti iššokantįjį langą su maždaug taip: „Sutinku su slapukų apdorojimu“ (su mygtuku „Gerai“).

Webvizorius mato asmeninius duomenis. Ką daryti?

Nesijaudink! Vadovaudamiesi „Yandex“ rekomendacijomis, visus laukus, kuriuose gali būti asmens duomenų, apsaugojome specialia klase. Dėl šios funkcijos žiniatinklio naršyklė nematys asmeninių vartotojų duomenų, kuriuos jie įkelia į svetainės formas.

Žodynėlis

Ir nusprendėme sukonkretinti visas sąlygas, kad jums nekiltų klausimų.
Asmeninė informacija- bet kokią informaciją, susijusią su tiesiogiai ar netiesiogiai identifikuotu asmeniu (asmens duomenų subjektu), įskaitant: jo pavardę, vardą, patronimą, metus, mėnesį, gimimo datą ir vietą, adresą, el. pašto adresą, telefono numerį, kita identifikavimo informacija (žr. Federalinio įstatymo-152 str. 3, 10, 11).

Šiuo metu asmens duomenų sąrašas nėra uždarytas, jei abejojate, ar duomenys yra asmeniniai, kreipkitės į savo teisininkus dėl paaiškinimo.

Asmens duomenų tvarkymas- tai bet koks veiksmas ar veiksmų rinkinys, įskaitant asmens duomenų rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, išaiškinimą, ištraukimą, naudojimą, perdavimą (platinimą, prieigos suteikimą), nuasmeninimą, blokavimą, ištrynimą, sunaikinimą.
operatorius- juridinis ar fizinis asmuo, savarankiškai ar kartu su kitais asmenimis, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus, tvarkomų asmens duomenų sudėtį, veiksmus (operacijas). ) atlikta su asmens duomenimis.
Asmens duomenų platinimas- veiksmai, kuriais siekiama atskleisti asmens duomenis neribotam asmenų ratui.
Asmens duomenų sunaikinimas- veiksmai, dėl kurių tampa neįmanoma atkurti asmens duomenų turinio asmens duomenų informacinėje sistemoje ir (ar) dėl kurių sunaikinami materialūs asmens duomenų nešėjai.

2006-07-27 priimtas Federalinis įstatymas Nr. 152-FZ „Dėl asmens duomenų“ užtikrinti asmens ir piliečio teisių ir laisvių apsaugą tvarkant jo asmens duomenis, įskaitant teisių į privatų gyvenimą, asmens ir šeimos paslaptis apsaugą. Viena iš šio įstatymo priėmimo priežasčių buvo gausūs asmens duomenų bazių vagystės faktai valdžios ir komercinėse struktūrose, platus jų pardavimas.

Ką reiškia terminas „asmens duomenys“?

Asmens duomenų (PD) apibrėžimas buvo įvykdytas ir iki įstatymo priėmimo, pavyzdžiui, „Konfidencialios informacijos sąraše“, patvirtintame 2014 m. Rusijos Federacijos prezidento dekretas Nr.188 1997 m. kovo 6 d.:

Į Konfidenciali informacija apima: informaciją apie piliečio privataus gyvenimo faktus, įvykius ir aplinkybes, leidžiančią identifikuoti jo asmenybę ( Asmeninė informacija), išskyrus informaciją, kuri federalinių įstatymų nustatytais atvejais turi būti skleidžiama visuomenės informavimo priemonėse.

Tačiau įstatymas jį papildė. Dabar, pasak FZ-152, Asmeninė informacija -

bet kokia informacija, susijusi su asmeniu, kuris nustatytas arba nustatytas remiantis tokia informacija (asmens duomenų subjektas), įskaitant jo pavardę, vardą, patronimą, metus, mėnesį, gimimo datą ir vietą, adresą, šeimą, socialinę, turtinę padėtį , išsilavinimas, profesija, pajamos, kita informacija.

Taigi asmens duomenys pirmiausia yra paso duomenys, informacija apie šeimyninę padėtį, informacija apie išsilavinimą, TIN numeriai, valstybinio pensijų draudimo pažymėjimas, sveikatos draudimas, informacija apie darbo veiklą, socialinę ir turtinę padėtį, informacija apie pajamas. Beveik kiekviena organizacija turi tokius duomenis.

Kreipdamasis į darbą, tai yra darbdavio personalo skyriaus duomenys, kuriuos darbuotojas nurodo asmens kortelėje, autobiografijoje ir kituose dokumentuose, užpildytuose sudarant darbo sutartį.

Vaikui patekus į darželį, mokyklą, institutą, kitas ugdymo įstaigas, taip pat užpildoma daug anketų, formų, kuriose nurodomi tiek vaiko (pvz., gimimo liudijimo duomenys), tiek jo tėvų (iki darbo vieta, pareigos).

Gydantis gydymo įstaigose būtina nurodyti ne tik paso duomenis, bet ir informaciją apie pašalpas, medicininį draudimą, informaciją apie ankstesnį gydymą, tyrimų rezultatus. Daugelyje gydymo įstaigų ambulatorinės/stacionarinės kortelės kopijuojamos elektronine forma.

Ir visi šie duomenys, pagal galiojančius teisės aktus, yra saugomi.

Nuo ko pradėti apsaugą ir ar ji apskritai reikalinga?

Asmens duomenų konfidencialumas - privalomas reikalavimas operatoriui ar kitam asmeniui, gavusiam prieigą prie asmens duomenų, neleisti jų platinti be asmens duomenų subjekto sutikimo ar kito teisinio pagrindo. FZ-152).

operatorius - valstybės įstaiga, savivaldybės įstaiga, juridinis ar fizinis asmuo, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus ir turinį. FZ-152).

Asmens duomenų informacinė sistema (ISPD) – informacinė sistema, kuri yra duomenų bazėje esančių asmens duomenų rinkinys, taip pat informacinės technologijos ir techninės priemonės, leidžiančios tokius asmens duomenis tvarkyti naudojant automatizavimo priemones arba nenaudojant tokių priemonių. FZ-152).

Asmens duomenų tvarkymas - tai veiksmai (operacijos) su PD, įskaitant asmens duomenų rinkimą, sisteminimą, kaupimą, saugojimą, išaiškinimą (atnaujinimą, keitimą), naudojimą, platinimą (įskaitant perdavimą), nuasmeninimą, blokavimą, sunaikinimą ( FZ-152).

Tvarkydamas asmens duomenis, operatorius privalo imtis visų būtinų organizacinių ir techninių priemonių, kad asmens duomenys būtų apsaugoti nuo neteisėtos ar atsitiktinės prieigos prie jų, asmens duomenų sunaikinimo, pakeitimo, blokavimo, kopijavimo, platinimo, taip pat nuo kitų neteisėtų veiksmų.

Ką reikia padaryti norint apsaugoti asmens duomenis?

Pirmiausia reikia nustatyti, kokios PD informacinės sistemos egzistuoja ir kokio tipo PD jos apdoroja.

Asmens duomenų informacinės sistemos klasifikacija

Norint suprasti, kokia reikšminga yra PD apsaugos problema, taip pat pasirinkti reikiamus metodus ir priemones PD apsaugai, operatorius turi klasifikuoti ISPD. Nustatyta klasifikavimo tvarka Rusijos FSTEC, Rusijos FSB ir Rusijos informacijos ir ryšių ministerijos įsakymu Nr. 55/86/20 2008 m. vasario 13 d..

Taigi operatorius sudaro komisiją (organizacijos vadovo įsakymu), kuri, išanalizavusi pradinius duomenis, nusprendžia priskirti atitinkamos klasės ISPD. Klasifikavimo metu nustatomi:

  • tvarkomų asmens duomenų kategorija;
  • tvarkomų asmens duomenų kiekis;
  • informacinės sistemos tipas;
  • informacinės sistemos struktūra ir jos techninių priemonių vieta;
  • asmens duomenų tvarkymo režimai;
  • vartotojų prieigos teisių diferencijavimo būdai;
  • jungčių prie viešųjų tinklų ir (ar) tarptautinių informacijos mainų tinklų prieinamumas.

Pagal įsakymas Nr.55/86/20, visos informacinės sistemos (IS) skirstomos į standartines ir specialiąsias.

Tipiškos informacinės sistemos - informacinės sistemos, reikalaujančios tik asmens duomenų konfidencialumo.

Specialios informacinės sistemos - informacinės sistemos, kuriose, nepaisant būtinybės užtikrinti asmens duomenų konfidencialumą, reikalaujama užtikrinti bent vieną iš asmens duomenų saugumo savybių, išskyrus konfidencialumą (apsaugą nuo sunaikinimo, pakeitimo, blokavimo, taip pat kitų neleistinų duomenų). veiksmai).

Praktikoje paaiškėja, kad standartinių IS praktiškai nėra, nes daugeliu atvejų, be konfidencialumo, būtina užtikrinti ir informacijos vientisumą bei prieinamumą. Be to, specialiose sistemose turėtų būti:

  • informacinės sistemos, kuriose tvarkomi asmens duomenys, susiję su asmens duomenų subjektų sveikatos būkle;
  • informacinės sistemos, kurios numato išimtinai automatizuoto asmens duomenų tvarkymo pagrindu priimti sprendimus, sukeliančius teisines pasekmes asmens duomenų subjekto atžvilgiu arba kitaip paveikiančius jo teises ir teisėtus interesus.

Taigi, remdamasi pirminių duomenų analizės rezultatais, komisija asmens duomenų sistemai priskiria atitinkamą klasę:

1 klasė (K1)- informacinės sistemos, dėl kurių nustatytų jose tvarkomų asmens duomenų saugumo charakteristikų pažeidimas gali sukelti reikšmingų neigiamų pasekmių asmens duomenų subjektams;

2 klasė (K2)- informacinės sistemos, dėl kurių nustatytų jose tvarkomų asmens duomenų saugumo charakteristikų pažeidimas gali sukelti neigiamų pasekmių asmens duomenų subjektams;

3 klasė (K3)- informacinės sistemos, dėl kurių nustatytų jose tvarkomų asmens duomenų saugumo charakteristikų pažeidimas gali sukelti nežymių neigiamų pasekmių asmens duomenų subjektams;

4 klasė (K4)- informacines sistemas, dėl kurių nustatytų jose tvarkomų asmens duomenų saugumo charakteristikų pažeidimas nesukelia neigiamų pasekmių asmens duomenų subjektams.

Klasifikavimo rezultatai dokumentuojami ISPD klasifikavimo aktu, kuriame nurodomas ISPD tipas (tipinis, specialus), ISPD priskirta klasė ir sąlygos, kuriomis remiantis buvo priimtas sprendimas.

Kaip jau minėta, klasifikavimas būtinas tolimesniam ISPD apdorojamo PD apsaugos metodų ir priemonių parinkimui, kadangi FSTEC ir FSB dokumentai kiekvienai klasei turi savo ISPD apsaugos reikalavimus, apie kuriuos pakalbėsime šiek tiek vėliau.

Tvarkytinas PD sutikimas

Toliau būtina tęsti šių duomenų tvarkymą, tačiau, kol jų tvarkymas tampa teisėtas, būtina gauti asmens duomenų subjekto sutikimą tvarkyti (taip įstatymai užkerta kelią neteisėtam asmens duomenų rinkimui ir naudojimui) :

6 straipsnis FZ-152:

Asmens duomenis operatorius gali tvarkyti gavęs PD subjektų sutikimą, išskyrus šiuos atvejus:

1) asmens duomenys tvarkomi remiantis federaliniu įstatymu, kuris nustato jo tikslą, asmens duomenų gavimo sąlygas ir subjektų, kurių asmens duomenys tvarkomi, ratą, taip pat operatoriaus įgaliojimus. ;

2) asmens duomenys tvarkomi siekiant įvykdyti sutartį, kurios viena iš šalių yra asmens duomenų subjektas;

3) asmens duomenys tvarkomi statistiniais ar kitais mokslo tikslais, taikant privalomą asmens duomenų nuasmeninimą;

4) asmens duomenų tvarkymas yra būtinas siekiant apsaugoti asmens duomenų subjekto gyvybę, sveikatą ar kitus gyvybiškai svarbius interesus, jeigu neįmanoma gauti asmens duomenų subjekto sutikimo;

5) asmens duomenis reikia tvarkyti pašto organizacijoms pristatyti pašto siuntas, telekomunikacijų operatoriams vykdyti atsiskaitymus su ryšio paslaugų vartotojais už suteiktas ryšio paslaugas, taip pat nagrinėti ryšių vartotojų pretenzijas. paslaugos;

6) asmens duomenys tvarkomi žurnalisto profesinės veiklos arba mokslinės, literatūrinės ar kitos kūrybinės veiklos tikslais, jeigu nepažeidžiamos asmens duomenų subjekto teisės ir laisvės;

7) federalinių įstatymų nustatyta tvarka skelbiamų asmens duomenų, įskaitant viešąsias pareigas, valstybės valstybės tarnybos pareigas, kandidatų į renkamas valstybės ar savivaldybių pareigas asmens duomenis, tvarkymas.

Taigi, jei mūsų PD apdorojimo atvejis yra numatytas Federalinio įstatymo-152 6 straipsnio 2 dalyje, sutikimo gauti nereikia.

Taip pat būtina laikytis Darbo kodekso 14 skyrius. Pavyzdžiui, darbdavys turi teisę gauti ir tvarkyti duomenis apie privatų darbuotojo gyvenimą tik gavęs jo rašytinį sutikimą (Darbo kodekso 86 straipsnio 4 dalis).

Pagal FZ-152 9 straipsnis būtina gauti asmens duomenų subjekto sutikimą, kad būtų tvarkomi jo asmens duomenys rašyme. Asmens duomenų subjekto rašytiniame sutikime turi būti nurodyta:

  • asmens duomenų subjekto pavardė, vardas, patronimas, adresas, pagrindinio jo tapatybę įrodančio dokumento numeris, informacija apie nurodyto dokumento išdavimo datą ir jį išdavusią įstaigą;
  • operatoriaus, gaunančio asmens duomenų subjekto sutikimą, vardas (pavardė, vardas, patronimas) ir adresas;
  • asmens duomenų tvarkymo tikslas;
  • asmens duomenų, dėl kurių tvarkymo duodamas asmens duomenų subjekto sutikimas, sąrašas;
  • veiksmų su asmens duomenimis, kuriems duodamas sutikimas, sąrašas, bendras operatoriaus taikomų asmens duomenų tvarkymo būdų aprašymas;
  • sutikimo galiojimo laikotarpis, taip pat jo atšaukimo tvarka.

Reglamentas, reglamentuojantis PD tvarkymą ir apsaugą

Taigi, operatorius gavo (jei reikia) sutikimą tvarkyti asmens duomenis – asmens duomenys gali būti tvarkomi. Tačiau, anot Darbo kodeksas ir FZ-152 būtina parengti (jei yra, baigti pagal federalinį įstatymą) nuostatą, reglamentuojančią asmens duomenų saugojimo, tvarkymo ir apsaugos tvarką. Preliminariai tai pavadinkime Reglamentas dėl asmens duomenų saugumo užtikrinimo. Asmens duomenų saugumo užtikrinimo reglamentas yra vidinis (vietinis) organizacijos dokumentas. Griežtos šio dokumento formos nėra, tačiau jis turi atitikti keliamus reikalavimus TC ir FZ-152, todėl jame turėtų būti:

Asmens duomenų saugumo užtikrinimo reglamentą tvirtina organizacijos vadovas arba jo įgaliotas asmuo ir jis įsigalioja vadovo įsakymu. Darbdavys privalo pasirašytinai supažindinti darbuotoją su Taisyklėmis....

Asmenų, priimtų į PD tvarkymą, sąrašas

Be to, būtina išduoti asmenų, priimtų į PD tvarkymą, sąrašas, t.y. sąrašas asmenų (pagal pareigas), kuriems reikalinga prieiga prie PD, kad galėtų atlikti savo tarnybines pareigas. Visų pirma, tai yra personalo tarnybos darbuotojai, nes jie renka ir formuoja duomenis apie darbuotoją, taip pat apskaitos skyriaus darbuotojus. Be to, prie šios informacijos gali susipažinti struktūrinių padalinių vadovai (pavyzdžiui, padalinių vadovai) – ir tai taip pat turėtų atsispindėti sąraše. Tačiau visi jie turi teisę reikalauti ne bet kokių duomenų, o tik tų, kurie būtini konkrečioms darbo funkcijoms atlikti (pavyzdžiui, norint apskaičiuoti mokestines lengvatas, buhalterija gaus ne visą informaciją apie darbuotoją, o tik duomenis apie jo išlaikytinių skaičių). Todėl patartina sudaryti informacijos šaltinių, į kuriuos leidžiama naudotis, sąrašą.

Asmenų, kuriems leidžiama tvarkyti PD, sąrašas gali būti išduotas Asmens duomenų saugumo užtikrinimo reglamento priedu arba atskiru vadovo patvirtintu dokumentu.

„Roskomnadzor“ pranešimas

Be to, pagal FZ-152 22 straipsnis operatorius, prieš pradėdamas tvarkyti asmens duomenis, privalo pranešti įgaliotai PD subjektų teisių apsaugos institucijai (šiandien tai yra Federalinė ryšių, informacinių technologijų ir masinių komunikacijų priežiūros tarnyba (Roskomnadzor)) apie savo ketinimas tvarkyti PD, išskyrus numatytus atvejus 22 FZ-152 straipsnio 2 dalis:

Operatorius turi teisę, nepranešęs įgaliotai asmens duomenų subjektų teisių apsaugos institucijai, tvarkyti asmens duomenis:

1) susiję su asmens duomenų subjektais, kuriuos su operatoriumi sieja darbo santykiai;

2) operatoriaus gautas dėl sutarties, kurios šalis yra asmens duomenų subjektas, sudarymo, jei asmens duomenys nėra platinami ir neteikiami tretiesiems asmenims be asmens duomenų subjekto sutikimo ir yra operatorius naudoja tik minėtam susitarimui vykdyti ir sutarčių su asmens duomenų subjektu sudarymui;

3) susijusius su visuomeninės asociacijos ar religinės organizacijos nariais (dalyviais), kuriuos tvarko atitinkama visuomeninė asociacija ar religinė organizacija, veikianti pagal Rusijos Federacijos įstatymus, siekdama teisėtų tikslų, numatytų jų steigimo dokumentuose, jeigu duomenys nebus platinami be raštiško asmens duomenų subjektų sutikimo;

4) būti viešai prieinamais asmens duomenimis;

5) įtraukiant tik asmens duomenų subjektų pavardes, vardus ir patronimus;

6) būtini vienkartiniam asmens duomenų perdavimui į teritoriją, kurioje yra operatorius, arba kitais panašiais tikslais;

7) įtrauktos į asmens duomenų informacines sistemas, kurios pagal federalinius įstatymus turi federalinių automatizuotų informacinių sistemų statusą, taip pat į valstybines asmens duomenų informacines sistemas, sukurtas siekiant apsaugoti valstybės saugumą ir viešąją tvarką;

8) tvarkomi nenaudojant automatizavimo pagal federalinius įstatymus ar kitus Rusijos Federacijos norminius teisės aktus, kurie nustato asmens duomenų saugumo užtikrinimo juos tvarkant ir asmens duomenų subjektų teisių laikymosi reikalavimus.

Pranešimo reikalavimai nustatyti 22 FZ-152 straipsnio 3 dalis. Pranešimo apie asmens duomenų tvarkymą (apie ketinimą tvarkyti) formą galima užpildyti elektroniniu būdu Roskomnadzor svetainėje: http://pd.rsoc.ru/operators-registry/notification/form/

Dabar galite pradėti tvarkyti asmens duomenis, kartu spręsdami sunkiausią ir problemiškiausią problemą - užtikrinti asmens duomenų saugumą juos tvarkant.

Asmens duomenų saugumo užtikrinimas juos tvarkant

Informacijos apsaugos priemonės užima daug laiko ir gali sukelti didelių finansinių išlaidų, nes reikia:

  • gauti (jei reikia) Rusijos FSTEC konfidencialios informacijos techninės apsaugos licenciją;
  • įtraukti Rusijos FSTEC licencijos turėtoją į veiklą, kuria siekiama sukurti ISPD apsaugos sistemą ir (arba) sertifikuoti ją pagal informacijos saugumo reikalavimus;
  • siųsti už informacijos saugumo užtikrinimą atsakingus darbuotojus į kvalifikacijos kėlimo kursus informacijos saugumo klausimais ir/ar samdyti informacijos saugos specialistus;
  • įdiegti FSTEC sertifikuotas informacijos saugos priemones (SrZI), FSB sertifikuotas kriptografinės informacijos saugos priemones (CIPF), priklausomai nuo ISPD klasės.

Galite ką nors padaryti patys, bet kai kur geriau pasitikėti specialistais. Tačiau asmens duomenis vienaip ar kitaip apsaugoti būtina.

19 straipsnis, FZ-152:

Tvarkydamas asmens duomenis, operatorius privalo imtis reikiamų organizacinių ir techninių priemonių, kad asmens duomenys būtų apsaugoti nuo neteisėtos ar atsitiktinės prieigos prie jų, sunaikinimo, pakeitimo, blokavimo, kopijavimo, platinimo, taip pat nuo kitų neteisėtų veiksmų.

  • „Asmens duomenų saugumo užtikrinimo juos tvarkant asmens duomenų informacinėse sistemose taisyklės“, patvirtintos Rusijos Federacijos Vyriausybės 2007 m. lapkričio 17 d. dekretu Nr. 781
  • „Asmens duomenų tvarkymo, atliekamo nenaudojant automatizavimo įrankių, ypatybių taisyklės“, patvirtintos 2008 m. rugsėjo 15 d. Rusijos Federacijos Vyriausybės dekretu Nr. 687
  • „Reikalavimai biometrinių asmens duomenų materialiniams nešiotojams ir tokių duomenų saugojimo ne asmens duomenų informacinėse sistemose technologijoms“, patvirtinti Rusijos Federacijos Vyriausybės 2008 m. liepos 6 d. dekretu Nr. 512
  • Specialieji konfidencialios informacijos techninės apsaugos reikalavimai ir rekomendacijos (STR-K), patvirtinti Rusijos valstybinės techninės komisijos 2002 m. rugpjūčio 30 d. įsakymu Nr. 282 (DSP)
  • Pagrindinis grėsmių asmens duomenų saugumui tvarkant juos asmens duomenų informacinėse sistemose modelis 2008 m. vasario 15 d. (Ištrauka, įvertinus informacijos nutekėjimo netikros elektromagnetinės spinduliuotės ir trukdžių (PEMIN) kanalais grėsmes būtina norint taikyti visą šio dokumento versiją – DSP)
  • Faktinių grėsmių asmens duomenų saugumui nustatymo juos tvarkant asmens duomenų informacinėse sistemose 2008 m. vasario 15 d. metodika (2009 m. lapkričio 16 d. FSTEC sprendimu ženklas „tarnybiniam naudojimui“ panaikintas)
  • 2008 m. vasario 15 d. rekomendacijos dėl asmens duomenų saugumo užtikrinimo juos tvarkant asmens duomenų informacinėse sistemose (2009 m. lapkričio 11 d. FSTEC sprendimu ženklas „tarnybiniam naudojimui“ panaikintas)
  • Pagrindinės asmens duomenų, tvarkomų asmens duomenų informacinėse sistemose, organizavimo ir techninio saugumo priemonės 2008 m. vasario 15 d. (Žyma „tarnybiniam naudojimui“ buvo panaikinta FSTEC 2009 m. lapkričio 11 d. sprendimu)
  • Asmens duomenų saugumo užtikrinimo naudojant kriptografines priemones gairės juos tvarkant asmens duomenų informacinėse sistemose naudojant automatizavimo priemones. FSB, 2008 m. vasario 21 d
  • Standartiniai šifravimo (kriptografinių) priemonių, skirtų apsaugoti informaciją, kurioje nėra valstybės paslaptį sudarančios informacijos, organizavimo ir veikimo užtikrinimo reikalavimai, jeigu jie naudojami asmens duomenų saugumui užtikrinti juos tvarkant asmens duomenų informacinėse sistemose. FSB, 2008 m. vasario 21 d

Detaliai nenagrinėsime visų reikalavimų, kurių turi būti laikomasi siekiant užtikrinti PD saugumą, kai jie apdorojami ISPD – jų yra daug, ir jie stipriai priklauso nuo konkretaus ISPD. Pakalbėkime apie pagrindinius dalykus, kurie dažnai sukelia sunkumų operatoriams.

Licencija – gauti ar negauti?

Teisės aktuose, taip pat FSTEC dokumentuose, nurodoma:

FZ-149 16 straipsnis, 6 dalis 2006 m. liepos 27 d. „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“:

Federaliniai įstatymai gali nustatyti tam tikrų informacijos saugos priemonių naudojimo ir tam tikrų informacijos saugumo veiklos rūšių įgyvendinimo apribojimus.

Federalinio įstatymo-128 17 straipsnio 1 dalies 11 punktas 2001 m. rugpjūčio 8 d. „Dėl tam tikrų rūšių veiklos licencijavimo“:

Pagal šį federalinį įstatymą licencijuojamos šios veiklos rūšys: veikla, skirta konfidencialios informacijos techninei apsaugai.

Rusijos Federacijos Vyriausybės dekretas Nr. 504 2006 m. rugpjūčio 15 d. „Dėl konfidencialios informacijos techninės apsaugos licencijavimo veiklos“.

Techninė konfidencialios informacijos apsauga suprantama kaip priemonių ir (ar) paslaugų visuma, skirta apsaugoti ją nuo neteisėtos prieigos, įskaitant techniniais kanalais, taip pat nuo ypatingo poveikio tokiai informacijai, siekiant ją sunaikinti, iškraipyti ar blokuoti prieigą prie jos. tai.

Pagrindiniai įvykiai… FSTEC
3.14 punktas

Pagal Federalinio įstatymo Nr. 128 „Dėl tam tikrų veiklos rūšių licencijavimo“ nuostatas ir Vyriausybės nutarimo Nr. 504 „Dėl konfidencialios informacijos techninės apsaugos licencijavimo veiklos“ reikalavimus, ISPD operatoriai imdamiesi priemonių saugumui užtikrinti. PD (konfidenciali informacija) juos apdorojant ISPD 1, 2 ir 3 (paskirstytos sistemos) klasėse turėtų gauti licencija vykdyti konfidencialios informacijos techninės apsaugos veiklą nustatyta tvarka.

Taip pat atsakė į klausimą dėl licencijos reikalingumo Rusijos FSTEC departamento vadovas NAZAROVAS Igoris Grigorjevičius prie apskritojo stalo, kurį surengė žurnalas „Prisijunkite! Bendravimo pasaulis“ (http://www.connect.ru/article.asp?id=9406):

Klausimas: ar operatoriams, tvarkantiems asmens duomenis ISPD, reikia gauti konfidencialios informacijos techninės apsaugos licenciją?

Igoris Nazarovas: Pagal FSTEC dokumentus licencija reikalinga PD operatoriams, savarankiškai vykdantiems tokią veiklą 1, 2 klasės informacinėse sistemose ir 3 klasės geografiškai paskirstytose sistemose, paprastai tai yra didelės valstybės informacinės sistemos. Tuo pačiu poliklinikoms, darželiams, vaistinėms ir kt., turinčioms 3 ir 4 klasių ISPD, tokių licencijų gauti nereikia.

Remiantis Rusijos Federacijos Vyriausybės 2007 m. lapkričio 17 d. dekretu Nr. 781, jei ISPD operatorius sudaro susitarimą dėl atitinkamų informacijos apsaugos priemonių (PD) vykdymo su įgaliotu asmeniu - ISPD licencijos turėtoju. Rusijos FSTEC, jam nereikia turėti licencijos.

Taigi mažoms organizacijoms, užuot gavus FSTEC licenciją TZKI, skirtą PD saugumo užtikrinimo priemonėms atlikti (ISPD apsaugos sistemos sukūrimas, sertifikavimas), bus ekonomiškiau pritraukti licencijos turėtoją iš FSTEC, kurie atliks visus reikiamus darbus.

Didelėms organizacijoms (pavyzdžiui, telekomunikacijų operatoriams, dideliems bankams ir pan.) apsimoka pačioms gauti licenciją ir atlikti visus reikiamus darbus.

Apibrėžiama licencijos verstis konfidencialios informacijos techninės apsaugos veikla išdavimo tvarka. Konfidencialios informacijos techninės apsaugos veiklos licencijavimo nuostatai“ (patvirtintas Rusijos Federacijos Vyriausybės 2006 m. rugpjūčio 15 d. dekretu Nr. 504). Reikalavimai norint gauti licenciją:

a) licencijos pareiškėjo (licencijos turėtojo) valstybėje yra specialistų, turinčių aukštąjį profesinį išsilavinimą techninės informacijos saugos srityje arba aukštąjį ar vidurinį profesinį (techninį) išsilavinimą ir perkvalifikuotus arba papildytus techninės informacijos saugos mokymus;

b) licencijos pareiškėjas (licenciatas) turi jam nuosavybės teise priklausančias patalpas licencijuojamai veiklai vykdyti, atitinkančias techninius standartus ir informacijos techninės apsaugos reikalavimus, nustatytus Rusijos Federacijos norminiuose teisės aktuose arba kitu teisiniu pagrindu;

c) gamybos, bandymo ir kontrolės bei matavimo įrangos, kuriai buvo atlikta metrologinė patikra (kalibravimas), ženklinimas ir sertifikavimas pagal Rusijos Federacijos teisės aktus, buvimas bet kokiu teisiniu pagrindu;

d) automatizuotų sistemų, apdorojančių konfidencialią informaciją, naudojimas, taip pat tokios informacijos, kuriai buvo atlikta atitikties įvertinimo procedūra (atestuota ir (ar) sertifikuota pagal informacijos saugumo reikalavimus), apsaugos priemonių naudojimas pagal Rusijos Federacijos įstatymus;

e) elektroninių kompiuterių programų ir duomenų bazių, skirtų licencijuojamai veiklai vykdyti, naudojimas pagal sutartį su jų teisių turėtoju;

f) techninės informacijos apsaugos norminių teisės aktų, norminių ir metodinių bei metodinių dokumentų prieinamumas pagal Federalinės techninės ir eksporto kontrolės tarnybos sudarytą sąrašą.

SZPDn sukūrimo etapai

Pagal Pagrindinės veiklos FSTEC išduotose asmens duomenų informacinėse sistemose tvarkomų asmens duomenų organizavimui ir techniniam saugumui asmens duomenų apsaugos sistemos (PSPD) sukūrimas susideda iš šių žingsnių:

1. Priešprojektinis etapas

1.1 Informatizacijos objekto apžiūra:

  • PD apdorojimo poreikio nustatymas ISPD;
  • saugotinų PD sąrašo nustatymas;
  • ISPD išdėstymo sąlygų, susijusių su kontroliuojamos zonos (KZ) ribomis, nustatymas;
  • ISPD kaip visumos ir atskirų jo komponentų konfigūracijos ir topologijos nustatymas; fiziniai, funkciniai ir technologiniai ryšiai tiek ISPD viduje, tiek su kitomis įvairaus lygio ir paskirties sistemomis;
  • saugomame ISPD naudojamų techninių priemonių ir sistemų, jų išdėstymo sąlygų nustatymas;
  • visos sistemos, specialiosios ir taikomosios programinės įrangos, naudojamos saugomame ISPD, apibrėžimas;
  • informacijos apdorojimo režimo nustatymas visame ISPD ir atskiruose komponentuose;
  • ISPD klasifikacija;
  • personalo dalyvavimo apdorojant informaciją (diskusijos, perdavimo, saugojimo) laipsnio, jų tarpusavio sąveikos pobūdžio nustatymas;
  • pažeidžiamumų ir grėsmių informacijos saugumui identifikavimas ir sąrašo sudarymas, grėsmių informacijos saugumui aktualumo įvertinimas;
  • privačios grėsmės modelio kūrimas.

1.2. SPPD sukūrimo techninių sąlygų, kuriose turėtų būti:

  • SZPDn plėtros poreikio pagrindimas;
  • pradiniai ISPD duomenys techniniais, programiniais, informaciniais ir organizaciniais aspektais;
  • ISPD klasė;
  • nuoroda į norminius dokumentus, į kuriuos atsižvelgiant bus kuriamas SDPD ir pradėtas eksploatuoti ISPD;
  • SPPD priemonių ir reikalavimų sukonkretinimas;
  • skirtų naudoti sertifikuotų informacijos apsaugos priemonių sąrašas;
  • nuosavų informacijos saugos priemonių kūrimo pagrindimas, jei neįmanoma arba netikslinga naudoti rinkoje esančias sertifikuotas informacijos saugos priemones;
  • darbo SPPD rengimo ir įgyvendinimo etapuose sudėtis, turinys ir laikas.

2. SPPD rengimo ir įgyvendinimo etapas

2.1 SZPDn sukūrimo projekto parengimas;

2.2 organizacinių ir techninių informacijos apsaugos priemonių kūrimas pagal reikalavimus;

2.3 sertifikuotų informacijos saugos priemonių pirkimas;

2.4. leistinos vartotojų ir personalo prieigos prie ISPD tvarkomos informacijos sistemos sukūrimas ir įdiegimas;

2.5 SRZI įrengimas ir konfigūravimas;

2.6 padalinių ir asmenų, atsakingų už informacijos saugos priemonių veikimą, nustatymas, paskirtų asmenų apmokymas PD apsaugos darbo specifikos;

2.7 ISPD ir informacijos saugos priemonių eksploatacinės dokumentacijos, taip pat informacinės saugos organizacinės ir administracinės dokumentacijos (nuostatų, įsakymų, instrukcijų ir kitų dokumentų) kūrimas;

2.8 kitų informacijos apsaugos priemonių įgyvendinimas.

3. CPAP įgyvendinimo etapas

3.1 bandomasis informacijos saugos priemonių veikimas kartu su kita technine ir programine įranga, siekiant patikrinti jų veikimą kaip ISPD dalį;

3.2. informacijos saugos priemonių priėmimo testai, pagrįsti bandomosios operacijos su priėmimo akto įforminimu rezultatais;

3.3 ISPD atitikties informacijos saugumo reikalavimams įvertinimas – informacijos saugumo reikalavimų atestavimas (deklaracija).

4. Informacijos saugos sistemos priežiūra ir palaikymas

Organizaciniai ir administraciniai dokumentai PD apsaugai

Be kuriamos asmens duomenų apsaugos sistemos techninių sprendimų, operatorius turi užtikrinti organizacinių ir administracinių dokumentų, kurie reglamentuos visus iškylančius PD saugumo užtikrinimo klausimus tvarkant juos ISPD ir eksploatuojant PDPD, rengimą. Tokių dokumentų yra daug, pagrindiniai yra:

1. PD saugumo užtikrinimo reglamentas- straipsnio pradžioje jau palietėme šio dokumento tikslą ir sudėtį. Tik tuo atveju kartojame - turėtų būti nurodyta:

  • tikslas ir tikslai asmens duomenų apsaugos srityje;
  • asmens duomenų samprata ir sudėtis;
  • kokiuose struktūriniuose padaliniuose ir kokiose laikmenose (popierinėse, elektroninėse) šie duomenys kaupiami ir saugomi;
  • kaip renkami ir saugomi asmens duomenys;
  • kaip jie apdorojami ir naudojami;
  • kas (pagal pareigas) įmonėje turi prieigą prie jų;
  • PD apsaugos principai, įskaitant nuo neteisėtos prieigos;
  • darbuotojo teises, siekiant užtikrinti savo asmens duomenų apsaugą;
  • atsakomybė už konfidencialios informacijos, susijusios su darbuotojų asmens duomenimis, atskleidimą.

2. Sutvarkyti asmenų, priimtų dirbti su PD ISPD, priėmimo ir apskaitos sistemą, - Asmenų, priimtų į PD tvarkymą, sąrašas(pareigų sąrašas asmenų, kuriems reikalinga prieiga prie PD tarnybinėms pareigoms atlikti) ir Prieiga prie Matricos(turėtų atspindėti vartotojų galias atlikti konkrečius veiksmus, susijusius su konkrečiais ISPD informacijos ištekliais – skaityti, rašyti, atnaujinti, ištrinti). Abu dokumentus tvirtina vadovas.

3. Privačios grėsmės modelis(jei yra keli ISPD, tai kiekvienam iš jų kuriamas grėsmės modelis) – parengtas remiantis išankstinės apklausos rezultatais. Rusijos FSTEC siūlo bazinis modelis grėsmės asmens duomenų saugumui juos tvarkant asmens duomenų informacinėse sistemose, pagal kurias, kuriant privatų modelį, reikėtų atsižvelgti į:

  • informacijos nutekėjimo techniniais kanalais grėsmės;
  • neteisėtos prieigos grėsmės, susijusios su pažeidėjų, turinčių prieigą prie ISPD, veiksmais, įgyvendinant grėsmes tiesiogiai ISPD. Kartu būtina ISPD teisėtus naudotojus laikyti potencialiais pažeidėjais;
  • neteisėtos prieigos grėsmės, susijusios su pažeidėjų, neturinčių prieigos prie ISPD, veiksmais, realizuojant išorinių viešųjų ryšių tinklų ir (ar) tarptautinių informacijos mainų tinklų grėsmes.

Sukurtą grėsmės modelį tvirtina vadovas.

4. Remiantis patvirtintu ISPD grėsmės modeliu, būtina plėtoti PD saugumo užtikrinimo reikalavimai juos tvarkant ISPD. Reikalavimai, kaip ir grėsmės modelis, yra atskiras dokumentas, kurį turi patvirtinti organizacijos vadovas.

Kuriant grėsmių ir reikalavimų modelį, operatoriui patartina pasitelkti specialistus iš FSTEC licencijų turėtojų.

5. Instrukcijos kalbant apie PD saugumo užtikrinimą juos tvarkant ISPD.

Be to, prieš atlikdamas visas PD apsaugos priemones, operatorius turi paskirti pareigūną arba (jei PDIS pakankamai didelis) struktūrinį padalinį, atsakingą už PD saugumo užtikrinimą. Sprendimas dėl paskyrimo priimamas pagal užsakymą lyderis. Pareigūno (padalinio), atsakingo už PD saugumo užtikrinimą, uždavinius, funkcijas ir įgaliojimus nustato vidaus organizaciniai ir administraciniai dokumentai ( pareigybių aprašymai, nuostatai).

Ką reikia sertifikuoti, o ko ne?

Dažnai klaidingai suprantama, kad visa naudojama programinė įranga turi būti sertifikuota, o sertifikavimas yra brangus ir atima daug laiko.

Tačiau nei viename dokumente, reglamentuojančiame PD apsaugos klausimus, neparašyta, ką reikėtų sertifikuoti visa programinė įranga. Informacijos saugos įrankiai turi būti sertifikuoti pagal Rusijos FSTEC reikalavimus, bet ne sistema, programa ar speciali programinė įranga, kuri nėra susijusi su ISPD apsauga.

Igoris Nazarovas: … sertifikatas, skirtas kontroliuoti, ar nėra NDV problemų saugos funkcionalumas, būtent apsaugos priemones, o ne visą programinę įrangą, kuri naudojama informacinėje sistemoje (http://www.connect.ru/article.asp?id=9406).

Šiandien FSTEC dokumentai, kuriuos galima peržiūrėti Federalinės techninės ir eksporto kontrolės tarnybos svetainėje, mums apie tai praneša:

ISPD turėtų būti naudojamos tik techninės priemonės ir apsaugos sistemos, sertifikuotos pagal informacijos saugumo reikalavimus.

Pagrindiniai įvykiai…

4.2 punktas: ... ISPD turėtų būti atliekama nedeklaruotų programinės įrangos ir programinės įrangos galimybių kontrolė ir sistemos bei taikomosios programinės įrangos saugumo analizė.

4.3 punktas: Dėl programinės įrangos, naudojamas informacijos apsaugai ISPD (informacijos saugumo priemonėse, įskaitant integruotas į bendrąją sistemą ir taikomąją programinę įrangą), turėtų būti numatytas atitinkamas NDV nebuvimo joje kontrolės lygis.

Taigi nebūtina sertifikuoti sistemos ir taikomosios programinės įrangos, jei ji nedalyvauja informacijos apsaugos procese – tai galima padaryti operatoriaus prašymu.

Asmens duomenų apsaugos sistemų kūrimo praktika rodo, kad būtina naudotis licencijuota programinė įranga(sistema, taikomoji programa ir speciali programinė įranga) ir sertifikuotos informacijos saugumo ir antivirusinės apsaugos priemonės(tai gali būti SrZI iš NSD, antivirusiniai produktai, ugniasienės, įsilaužimo aptikimo įrankiai, tam tikrą klasę atitinkantys saugumo analizės įrankiai). Jei ISPD nustato kriptografinės informacijos apsaugos priemonės (CIPF), tada jie taip pat turi būti sertifikuoti pagal Rusijos FSB reikalavimus.

Pažymėtina, kad tik FSTEC licencijos turėtojas turi teisę įdiegti sertifikuotą CIPF, o FSB licencijos turėtojas turi teisę įdiegti CIPF.

Sertifikavimas

Paskutinis ISPD apsaugos sistemos kūrimo etapas turėtų būti sertifikavimas (atitikties deklaracija) - organizacinių ir techninių priemonių rinkinys, dėl kurio specialiu dokumentu - atitikties sertifikatu (išvada) patvirtinama, kad ISPD atitinka standartų ar kitų norminių ir metodinių dokumentų, reglamentuojančių informacijos saugumą, reikalavimus. Galiojančio atitikties atestavimo buvimas suteikia teisę tvarkyti informaciją atitinkamu konfidencialumo lygiu Atitikties atestacijoje nurodytą laikotarpį.

Klausimas: Kas gali sertifikuoti darbovietes, kad jos atitiktų teisės aktų ir teisės aktų reikalavimus asmens duomenų srityje?

Igoris Nazarovas: ISPD sertifikavimą dėl atitikties informacijos saugumo reikalavimams gali atlikti FSTEC licencijos turėtojai, turintys konfidencialios informacijos techninės apsaugos licenciją (http://www.connect.ru/article.asp?id=9406).

Sertifikavimas numato visapusišką ISPD patikrą (sertifikavimo testus) realiomis eksploatavimo sąlygomis, siekiant įvertinti, ar priimtas apsaugos priemonių kompleksas atitinka reikiamą PD saugumo lygį.

Apskritai, ISPD sertifikavimas pagal informacijos saugumo reikalavimus apima šiuos veiksmus:

  • pirminių duomenų apie sertifikuotą ISPD analizę;
  • ISPD ekspertizės atlikimas ir parengtos PD saugumo užtikrinimo dokumentacijos dėl norminių ir metodinių dokumentų reikalavimų laikymosi analizė;
  • sudėtingų ISPD sertifikavimo testų atlikimas realiomis eksploatavimo sąlygomis naudojant specialią valdymo įrangą ir programinės įrangos priemones, skirtas stebėti saugumą nuo neteisėtos prieigos;
  • kompleksinių atestavimo testų rezultatų analizė, išvados ir atitikties sertifikato įforminimas bei patvirtinimas remiantis atestacijos rezultatais.

Svarbus dalykas yra tas pasikeitus sąlygoms ir apdorojimo technologijoms PD operatorius privalo apie tai pranešti licenciją turinčiai organizacijai, kuri atliko ISPD sertifikavimą. Po to licencijos turėtoja organizacija priima sprendimą dėl papildomo ISPD apsaugos sistemos veiksmingumo patikrinimo poreikio.

Atsakomybė ir rizika už įstatymo reikalavimų nesilaikymą

Neįvykdžius PD saugumo užtikrinimo reikalavimų, operatoriui gali kilti klientų ar darbuotojų civilinių ieškinių rizika.

O tai savo ruožtu gali turėti įtakos įmonės reputacijai, taip pat priverstinai sustabdyti (nutraukti) PD apdorojimą, patraukti įmonę ir (ar) jos vadovą administracinėn ar kitokio pobūdžio atsakomybėn, o esant tam tikroms sąlygoms - dėl licencijų sustabdymo arba panaikinimo. Be to, pagal federalinį įstatymą asmenys, kalti dėl reikalavimų pažeidimo, yra atsakingi už civilinę, baudžiamąją, administracinę, drausminę ir kitą Rusijos Federacijos teisės aktuose numatytą atsakomybę. FZ-152 24 straipsnis):

  • Drausminė (Rusijos Federacijos darbo kodekso 81, 90, 195, 237, 391 straipsniai);
  • Administracinis (Rusijos Federacijos administracinių nusižengimų kodekso 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2 straipsniai);
  • Baudžiamasis (Rusijos Federacijos baudžiamasis kodeksas, 137, 140, 155, 171, 183, 272, 273, 274, 292, 293 straipsniai).

O koks galutinis rezultatas?...

Daug kas dabar sako, kad šiandieniniai teisės aktai ir norminiai bei metodiniai dokumentai turi daug netikslumų ir tam tikra prasme net pertekliaus.

Daugelis tikisi, kad 2009 m. gruodžio mėn. buvo nuspręsta pratęsti FZ-152 reikalavimų įvykdymo terminus iki 2011 m. sausio mėn.

Tačiau nepaisant to, poreikis apsaugoti asmens duomenis išlieka.

Todėl šios problemos sprendimo nereikėtų atidėlioti neribotam laikui ir dabar reikia imtis būtinų priemonių asmens duomenų saugumui užtikrinti.

1. Šis federalinis įstatymas reglamentuoja santykius, susijusius su asmens duomenų tvarkymu, kurį atlieka federalinės valstybės institucijos, Rusijos Federaciją sudarančių subjektų valstybės institucijos, kitos valstybės institucijos (toliau – valstybės institucijos), vietos valdžios institucijos, kitos savivaldybių institucijos. (toliau – savivaldybės įstaigos) , juridiniai ir fiziniai asmenys, naudojantys automatizavimo priemones, įskaitant informaciniuose ir telekomunikacijų tinkluose, arba nenaudojant tokių priemonių, jeigu asmens duomenų tvarkymas nenaudojant tokių priemonių atitinka veiksmų (operacijų) pobūdį. atliekama su asmens duomenimis naudojant automatizavimo įrankius, tai yra leidžia pagal nurodytą algoritmą ieškoti asmens duomenų, įrašytų materialioje laikmenoje ir esančių bylų spintelėse ar kituose susistemintuose asmens duomenų rinkiniuose ir (ar) pasiekti toks miego duomenis.

1) fizinių asmenų asmens duomenų tvarkymas tik asmeniniams ir šeimos poreikiams tenkinti, jeigu nepažeidžiamos asmens duomenų subjektų teisės;

2) dokumentų, kuriuose yra Rusijos Federacijos archyvų fondo asmens duomenų, ir kitų archyvinių dokumentų saugojimo, įsigijimo, apskaitos ir naudojimo organizavimas pagal archyvavimo Rusijos Federacijoje teisės aktus;

5) įgaliotų institucijų informacijos apie teismų veiklą Rusijos Federacijoje teikimas pagal 2008 m. gruodžio 22 d. federalinį įstatymą Nr. 262-FZ „Dėl prieigos prie informacijos apie teismų veiklą Rusijos Federacijoje užtikrinimo“.

Šio federalinio įstatymo tikslas – užtikrinti asmens ir piliečio teisių ir laisvių apsaugą tvarkant jo asmens duomenis, įskaitant teisių į privatumą, asmens ir šeimos paslaptis apsaugą.

1) asmens duomenys – bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu ar galimo nustatyti fizinį asmenį (asmens duomenų subjektą);

2) operatorius – valstybės įstaiga, savivaldybės įstaiga, juridinis asmuo ar fizinis asmuo, savarankiškai ar kartu su kitais asmenimis, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus, asmens sudėtį. tvarkomi duomenys, su asmens duomenimis atlikti veiksmai (operacijos);

3) asmens duomenų tvarkymas – bet koks veiksmas (operacija) arba veiksmų (operacijų) visuma, atliekama naudojant automatizavimo priemones arba nenaudojant tokių priemonių su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, išaiškinimą (atnaujinimą, keitimą) , asmens duomenų išgavimas, naudojimas, perdavimas (platinimas, teikimas, prieiga), nuasmeninimas, blokavimas, ištrynimas, sunaikinimas;

6) asmens duomenų teikimas – veiksmai, kuriais siekiama atskleisti asmens duomenis tam tikram asmeniui ar tam tikram asmenų ratui;

7) asmens duomenų blokavimas – laikinas asmens duomenų tvarkymo sustabdymas (išskyrus atvejus, kai tvarkyti būtina siekiant patikslinti asmens duomenis);

8) asmens duomenų sunaikinimas – veiksmai, dėl kurių tampa neįmanoma atkurti asmens duomenų turinio informacinėje asmens duomenų sistemoje ir (ar) dėl kurių sunaikinami esminiai asmens duomenų nešėjai;

9) asmens duomenų nuasmeninimas – veiksmai, dėl kurių nenaudojant papildomos informacijos tampa neįmanoma nustatyti asmens duomenų nuosavybės teisės konkrečiam asmens duomenų subjektui;

10) asmens duomenų informacinė sistema - duomenų bazėse ir informacinėse technologijose esančių asmens duomenų visuma ir techninės priemonės, užtikrinančios jų tvarkymą;

11) tarpvalstybinis asmens duomenų perdavimas – asmens duomenų perdavimas į užsienio valstybės teritoriją užsienio valstybės institucijai, užsienio fiziniam ar užsienio juridiniam asmeniui.

1. Rusijos Federacijos teisės aktai asmens duomenų srityje yra pagrįsti Rusijos Federacijos Konstitucija ir Rusijos Federacijos tarptautinėmis sutartimis ir susideda iš šio federalinio įstatymo bei kitų federalinių įstatymų, kurie nustato asmens duomenų tvarkymo atvejus ir ypatybes. Asmeniniai duomenys.

2. Remdamiesi ir vadovaudamiesi federaliniais įstatymais, valstybės institucijos, Rusijos bankas, vietos valdžios institucijos pagal savo įgaliojimus gali priimti norminius teisės aktus, reglamentus, teisės aktus (toliau – norminiai teisės aktai) tam tikrais klausimais, susijusiais su asmens duomenų tvarkymas. Tokiuose aktuose negali būti nuostatų, ribojančių asmens duomenų subjektų teises, nustatančių operatorių veiklos apribojimus, nenumatytus federaliniuose įstatymuose, arba įpareigojančius operatorius, nenumatytus federaliniuose įstatymuose, ir jie turi būti oficialiai skelbiami.

3. Asmens duomenų tvarkymo, atliekamo nenaudojant automatizavimo priemonių, ypatybes gali nustatyti federaliniai įstatymai ir kiti Rusijos Federacijos norminiai teisės aktai, atsižvelgiant į šio federalinio įstatymo nuostatas.

4. Jeigu Rusijos Federacijos tarptautinėje sutartyje nustatytos kitos taisyklės, nei numatyta šiame federaliniame įstatyme, taikomos tarptautinės sutarties taisyklės.

2. Asmens duomenys turėtų būti tvarkomi tik siekiant konkrečių, iš anksto nustatytų ir teisėtų tikslų. Neleidžiama tvarkyti asmens duomenų, kurie nesuderinami su asmens duomenų rinkimo tikslais.

3. Neleidžiama derinti duomenų bazių, kuriose yra asmens duomenų, kurių tvarkymas vykdomas tarpusavyje nesuderinamais tikslais.

6. Tvarkant asmens duomenis, turi būti užtikrintas asmens duomenų tikslumas, pakankamumas, o prireikus jų aktualumas asmens duomenų tvarkymo tikslams. Operatorius privalo imtis reikiamų priemonių arba užtikrinti, kad jų būtų imtasi, kad būtų pašalinti arba patikslinti neišsamūs ar netikslūs duomenys.

RUSIJOS FEDERACIJA
FEDERALINIS ĮSTATYMAS
APIE ASMENS DUOMENYS

(su pakeitimais, padarytais 2009 m. lapkričio 25 d. Federaliniais įstatymais Nr. 266-FZ, 2009 12 27 N 363-FZ, 2010 06 28 N 123-FZ, 2010 07 27 N 204-FZ, 2010 07 27 N 227-FZ, N 227-FZ, N 227-FZ, 2010 07 29-2011 F. -FZ, 2011-04-06 N 123-FZ, 2011-07-25 N 261-FZ)

1 skyrius. Bendrosios nuostatos

1 straipsnis. Šio federalinio įstatymo taikymo sritis

  1. Šis federalinis įstatymas reglamentuoja santykius, susijusius su asmens duomenų tvarkymu, kurį atlieka federalinės valstybės institucijos, Rusijos Federaciją sudarančių subjektų valstybinės institucijos, kitos valstybės institucijos (toliau – valstybinės institucijos), vietos valdžios institucijos, kitos savivaldybių institucijos. toliau – savivaldybės įstaigos), juridiniai ir fiziniai asmenys, naudojantys automatizavimo priemones, įskaitant informacinius ir telekomunikacijų tinklus, arba nenaudojantys tokių priemonių, jeigu asmens duomenų tvarkymas nenaudojant tokių priemonių atitinka atliekamų veiksmų (operacijų) pobūdį. su asmens duomenimis naudojant automatizavimo įrankius, tai yra leidžia pagal nurodytą algoritmą ieškoti asmens duomenų, įrašytų materialioje laikmenoje ir esančių bylų spintelėse ar kituose susistemintuose asmens duomenų rinkiniuose ir (ar) prieiti prie tokių asmenų. visi duomenys.
  2. Šis federalinis įstatymas netaikomas santykiams, kylantiems iš:
    • fiziniai asmenys tvarko asmens duomenis tik asmeniniams ir šeimos poreikiams tenkinti, jei nepažeidžiamos asmens duomenų subjektų teisės;
    • dokumentų, kuriuose yra Rusijos Federacijos archyvinio fondo asmens duomenų, ir kitų archyvinių dokumentų saugojimo, įsigijimo, apskaitos ir naudojimo organizavimas pagal archyvavimo Rusijos Federacijoje teisės aktus;
    • prarado savo galią. - 2011 m. liepos 25 d. federalinis įstatymas N 261-FZ;
    • tvarkyti asmens duomenis, nustatyta tvarka įslaptintus kaip valstybės paslaptį sudarančią informaciją;
    • įgaliotų institucijų informacijos apie teismų veiklą Rusijos Federacijoje teikimas pagal 2008 m. gruodžio 22 d. federalinį įstatymą N 262-FZ „Dėl prieigos prie informacijos apie teismų veiklą Rusijos Federacijoje užtikrinimo“.

2 straipsnis. Šio federalinio įstatymo paskirtis

Šio federalinio įstatymo tikslas – užtikrinti asmens ir piliečio teisių ir laisvių apsaugą tvarkant jo asmens duomenis, įskaitant teisių į privatumą, asmens ir šeimos paslaptis apsaugą.

3 straipsnis. Pagrindinės šiame federaliniame įstatyme vartojamos sąvokos

Šiame federaliniame įstatyme vartojamos šios pagrindinės sąvokos:

  • asmens duomenys – bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu ar identifikuojamu fiziniu asmeniu (asmens duomenų subjektu);
  • operatorius – valstybės įstaiga, savivaldybės įstaiga, juridinis ar fizinis asmuo, savarankiškai ar kartu su kitais asmenimis, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus, asmens duomenų sudėtį. būti tvarkomi, su asmens duomenimis atliekami veiksmai (operacijos);
  • asmens duomenų tvarkymas – bet koks veiksmas (operacija) arba veiksmų (operacijų) visuma, atliekama naudojant arba nenaudojant automatizavimo įrankius su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, patikslinimą (atnaujinimą, keitimą), ištraukimą. , asmens duomenų naudojimas, perdavimas (platinimas, teikimas, prieiga), nuasmeninimas, blokavimas, trynimas, sunaikinimas;
  • automatizuotas asmens duomenų tvarkymas – asmens duomenų tvarkymas naudojant kompiuterines technologijas;
  • asmens duomenų skleidimas – veiksmai, kuriais siekiama atskleisti asmens duomenis neribotam asmenų ratui;
  • asmens duomenų teikimas – veiksmai, kuriais siekiama atskleisti asmens duomenis tam tikram asmeniui ar tam tikram asmenų ratui;
  • asmens duomenų blokavimas – laikinas asmens duomenų tvarkymo sustabdymas (išskyrus atvejus, kai tvarkymas būtinas siekiant patikslinti asmens duomenis);
  • asmens duomenų sunaikinimas – veiksmai, dėl kurių tampa neįmanoma atkurti asmens duomenų turinio informacinėje asmens duomenų sistemoje ir (ar) dėl kurių sunaikinami materialūs asmens duomenų nešėjai;
  • asmens duomenų nuasmeninimas – veiksmai, dėl kurių nenaudojant papildomos informacijos tampa neįmanoma nustatyti asmens duomenų nuosavybės teisės konkrečiam asmens duomenų subjektui;
  • asmens duomenų informacinė sistema – duomenų bazėse esančių asmens duomenų visuma ir informacinės technologijos bei techninės priemonės, užtikrinančios jų tvarkymą;
  • tarpvalstybinis asmens duomenų perdavimas – asmens duomenų perdavimas į užsienio valstybės teritoriją užsienio valstybės institucijai, užsienio fiziniam ar užsienio juridiniam asmeniui.

4 straipsnis. Rusijos Federacijos teisės aktai asmens duomenų srityje

  1. Rusijos Federacijos teisės aktai asmens duomenų srityje yra pagrįsti Rusijos Federacijos Konstitucija ir Rusijos Federacijos tarptautinėmis sutartimis ir susideda iš šio federalinio įstatymo bei kitų federalinių įstatymų, kurie nustato asmens duomenų tvarkymo atvejus ir ypatybes. .
  2. Remdamiesi ir vadovaudamiesi federaliniais įstatymais, valstybės institucijos, Rusijos bankas, vietos valdžios institucijos pagal savo įgaliojimus gali priimti norminius teisės aktus, reglamentus, teisės aktus (toliau – norminiai teisės aktai) tam tikrais su duomenų tvarkymu susijusiais klausimais. asmens duomenų. Tokiuose aktuose negali būti nuostatų, ribojančių asmens duomenų subjektų teises, nustatančių operatorių veiklos apribojimus, nenumatytus federaliniuose įstatymuose, arba įpareigojančius operatorius, nenumatytus federaliniuose įstatymuose, ir jie turi būti oficialiai skelbiami.
  3. Asmens duomenų tvarkymo, atliekamo nenaudojant automatizavimo priemonių, ypatybes gali nustatyti federaliniai įstatymai ir kiti Rusijos Federacijos norminiai teisės aktai, atsižvelgiant į šio federalinio įstatymo nuostatas.
  4. Jei Rusijos Federacijos tarptautinėje sutartyje nustatytos kitos taisyklės, nei numatyta šiame federaliniame įstatyme, taikomos tarptautinės sutarties taisyklės.

2 skyrius. Asmens duomenų tvarkymo principai ir sąlygos

5 straipsnis. Asmens duomenų tvarkymo principai

  1. Asmens duomenys turi būti tvarkomi teisėtais ir sąžiningais pagrindais.
  2. Asmens duomenys turėtų būti tvarkomi tik siekiant konkrečių, iš anksto nustatytų ir teisėtų tikslų. Neleidžiama tvarkyti asmens duomenų, kurie nesuderinami su asmens duomenų rinkimo tikslais.
  3. Neleidžiama derinti duomenų bazių, kuriose yra asmens duomenų, kurie tvarkomi vienas su kitu nesuderinamais tikslais.
  4. Tvarkomi tik tie asmens duomenys, kurie atitinka jų tvarkymo tikslus.
  5. Tvarkomų asmens duomenų turinys ir apimtis turi atitikti nurodytus tvarkymo tikslus. Tvarkomi asmens duomenys neturėtų būti per dideli, palyginti su nurodytais jų tvarkymo tikslais.
  6. Tvarkant asmens duomenis turi būti užtikrintas asmens duomenų tikslumas, pakankamumas, o prireikus – ir jų tinkamumas asmens duomenų tvarkymo tikslams. Operatorius privalo imtis reikiamų priemonių arba užtikrinti, kad jų būtų imtasi, kad būtų pašalinti arba patikslinti neišsamūs ar netikslūs duomenys.
  7. Asmens duomenys turėtų būti saugomi tokia forma, kuri leistų nustatyti asmens duomenų subjektą, ne ilgiau, nei to reikalauja asmens duomenų tvarkymo tikslai, jei asmens duomenų saugojimo termino nenustato federaliniai įstatymai, susitarimas su kurio asmens duomenų subjektas yra šalis, naudos gavėjas ar garantas. Tvarkomi asmens duomenys gali būti sunaikinti arba nuasmeninti, kai pasiekiami tvarkymo tikslai arba prarandamas poreikis pasiekti šiuos tikslus, nebent federaliniai įstatymai numato kitaip.

6 straipsnis. Asmens duomenų tvarkymo sąlygos

  1. Asmens duomenys turi būti tvarkomi laikantis šiame federaliniame įstatyme numatytų principų ir taisyklių. Asmens duomenis leidžiama tvarkyti šiais atvejais:
    • asmens duomenys tvarkomi gavus asmens duomenų subjekto sutikimą, kad būtų tvarkomi jo asmens duomenys;
    • asmens duomenų tvarkymas yra būtinas siekiant Rusijos Federacijos tarptautinėje sutartyje ar įstatyme numatytų tikslų, vykdyti ir vykdyti funkcijas, įgaliojimus ir pareigas, kurias operatoriui paskyrė Rusijos Federacijos teisės aktai;
    • asmens duomenis reikia tvarkyti vykdant teisingumą, teismo veiksmą, kitos institucijos ar pareigūno aktą, kuris turi būti vykdomas pagal Rusijos Federacijos teisės aktus dėl vykdymo procedūrų (toliau – teismo veiksmo vykdymas). teismo aktas);
    • asmens duomenis reikia tvarkyti valstybės ar savivaldybių paslaugoms teikti pagal 2010 m. liepos 27 d. federalinį įstatymą N 210-FZ „Dėl valstybės ir savivaldybių paslaugų teikimo organizavimo“, siekiant užtikrinti tokių paslaugų teikimą. paslauga, registruoti asmens duomenų subjektą viename valstybės ir savivaldybių paslaugų portale;
    • Asmens duomenis tvarkyti būtina siekiant įvykdyti sutartį, kurios šalis yra asmens duomenų subjektas arba naudos gavėjas ar garantas, taip pat asmens duomenų subjekto iniciatyva sudaryti sutartį arba sutartį, pagal kurią asmens duomenų subjektas bus naudos gavėjas arba garantas;
    • asmens duomenų tvarkymas yra būtinas siekiant apsaugoti asmens duomenų subjekto gyvybę, sveikatą ar kitus gyvybiškai svarbius interesus, jeigu neįmanoma gauti asmens duomenų subjekto sutikimo;
    • asmens duomenų tvarkymas yra būtinas siekiant įgyvendinti operatoriaus ar trečiųjų asmenų teises ir teisėtus interesus arba pasiekti socialiai reikšmingus tikslus, jeigu nepažeidžiamos asmens duomenų subjekto teisės ir laisvės;
    • asmens duomenis tvarkyti būtina žurnalisto profesinei veiklai ir (ar) teisėtai žiniasklaidos veiklai arba mokslinei, literatūrinei ar kitai kūrybinei veiklai, jeigu nepažeidžiamos asmens duomenų subjekto teisės ir teisėti interesai. ;
    • asmens duomenys tvarkomi statistiniais ar kitais tyrimų tikslais, išskyrus šio federalinio įstatymo 15 straipsnyje nurodytus tikslus, atsižvelgiant į privalomą asmens duomenų nuasmeninimą;
    • vykdomas asmens duomenų tvarkymas, prieiga neribotam asmenų ratui suteikiama asmens duomenų subjekto arba jo prašymu (toliau – asmens duomenų subjekto viešai paskelbti asmens duomenys);
    • asmens duomenų, kuriuos reikia paskelbti arba atskleisti pagal federalinį įstatymą, tvarkymas.
  2. Specialių kategorijų asmens duomenų, taip pat biometrinių asmens duomenų tvarkymo ypatumai yra nustatyti atitinkamai šio federalinio įstatymo 10 ir 11 straipsniuose.
  3. Operatorius turi teisę asmens duomenų subjekto sutikimu pavesti tvarkyti asmens duomenis kitam asmeniui, jei federaliniai įstatymai nenustato kitaip, remiantis su šiuo asmeniu sudaryta sutartimi, įskaitant valstybės ar savivaldybės sutartį, arba priimdamas atitinkamą valstybės ar savivaldybės institucijos (toliau – nurodymų vykdytojas) aktą. Asmuo, kuris tvarko asmens duomenis operatoriaus vardu, privalo laikytis šiame federaliniame įstatyme numatytų asmens duomenų tvarkymo principų ir taisyklių. Operatoriaus nurodyme turi būti apibrėžtas veiksmų (operacijų) su asmens duomenimis, kuriuos atliks asmens duomenis tvarkantis asmuo, sąrašas ir tvarkymo tikslai, tokio asmens pareiga išlaikyti asmens duomenų paslaptį ir užtikrinti saugumą. asmens duomenų tvarkymo metu, taip pat tvarkomų asmens duomenų apsaugos reikalavimai turi būti nurodyti pagal šio federalinio įstatymo 19 straipsnį.
  4. Asmuo, kuris tvarko asmens duomenis operatoriaus vardu, neprivalo gauti asmens duomenų subjekto sutikimo tvarkyti jo asmens duomenis.
  5. Jei operatorius paveda tvarkyti asmens duomenis kitam asmeniui, jis atsako asmens duomenų subjektui už minėto asmens veiksmus. Asmuo, kuris tvarko asmens duomenis operatoriaus vardu, yra atsakingas operatoriui.

Aleksejus Kondratovas
Svetainės paslaugos įkūrėjas ir teisės skyriaus vadovas, specialistas asmens duomenų apsaugos, teisinės pagalbos pradedantiesiems ir teisminės verslo apsaugos srityse.

Išsilavinimas: Pomoro valstijos universiteto Teisės fakultetas. Anksčiau jis dirbo „Iski Online“ generaliniu direktoriumi.

2017 metų liepos 1 dieną įsigaliojo Rusijos administracinių nusižengimų kodekso pakeitimai. 152-FZ „Dėl asmens duomenų apsaugos“ įstatymo pažeidimus baudų dydis padidintas, pasikeitė kai kurios formuluotės. Dėl naujų taisyklių daugelis svetainių savininkų susirūpino, kaip jų svetainės atitinka įstatymus. Pabandykime tai išsiaiškinti.

Pradėkime nuo šiek tiek pagrindinės informacijos. 152-FZ yra pirmasis modernus asmens duomenų įstatymas Rusijoje. Jis pradėtas kurti 2000 m. ir įsigaliojo 2006 m. liepos 27 d. Pagrindinė įstatymo nuostata buvo privalomas asmens sutikimas, kad informacija apie jį būtų tvarkoma bet kokiu tikslu. Kuriant 152-FZ buvo įvestos dvi naujos sąvokos, kurios vis dar galioja įstatyme - asmens duomenų subjektas ir asmens duomenų valdytojas. Nesunku atspėti, kad subjektas yra asmuo, kurio tapatybę galima nustatyti naudojant tam tikrą informaciją. Operatorius gali būti tiek fizinis, tiek juridinis asmuo, turintis prieigą prie subjekto asmens duomenų. Paskutinis apibrėžimas mums yra nepaprastai svarbus, todėl pakalbėkime prie jo išsamiau.

Kas pagal įstatymą 152-FZ laikomas asmens duomenų valdytoju?

Vyriausybės ir savivaldybių institucijos, teismai, švietimo ir gydymo įstaigos, darbdaviai, visos įmonės ir organizacijos, teikiančios asmenines paslaugas: bankai, advokatų kontoros, mobiliojo ryšio operatoriai, statybų bendrovės, interneto ištekliai – visa tai yra asmens duomenų operatoriai, nes jie turi prieigą prie skirtingu laipsniu asmeninę žmonių informaciją.

Kokie asmeniniai vartotojų duomenys gali būti jūsų svetainėje?

Dažniausiai asmens duomenys (PD) reiškia:

  • pavardė,
  • amžius,
  • Gimimo vieta,
  • Nuotrauka,
  • gyvenamosios vietos adresas,
  • telefono numeris.

Asmens duomenys taip pat apima informaciją apie:

  • apie šeimyninę padėtį
  • religinės, filosofinės ir politinės pažiūros,
  • intymus gyvenimas,
  • sveikatos būklę.

Anonimizuoti asmens duomenys ir automatiškai surinkta informacija:

  • el.paštas,
  • IP adresas
  • geografinė vieta,
  • sausainiai.

Kokios yra asmens duomenų rinkimo formos svetainėje?

  • Registracijos forma.
  • Užsakymo forma.
  • Atsiliepimo forma.
  • Mygtukas „Prašyti atgalinio skambinimo“.
  • Prenumeratos forma platinimui el.

Baudų dydžiai pasikeitus 2017 m. liepos 1 d

Straipsnio numeris

Galimi pažeidimai

Baudos dydis

Administracinių teisės pažeidimų kodekso 13.11 straipsnio 1 dalis
  • Svetainės lankytojų prašymas nuskaityti dokumentus.
  • SMS ir el. pašto platinimas be kliento sutikimo.
  • Bet kokia naudotojų klaidinga informacija, susijusi su duomenų įvedimo į formą svetainėje tikslu.

Dėl fizinio asmenys - iki 3 tr.

Dėl legalaus asmenų – iki 50 tr.

Administracinių teisės pažeidimų kodekso 13.11 str
  • Bet kokių PD, įskaitant IP adresus ir slapukus, apdorojimas, rinkimas ir saugojimas be elektroninio vartotojų parašo.
  • Svetainėje trūksta dokumentų „Privatumo politika“ ir „Naudotojo sutartis“.
  • Dokumentų neatitikimas teisės aktų reikalavimams, kuris gali atsirasti dėl rengimo klaidų.
  • Atsisakymo nebuvimas vartotojui pirmą kartą apsilankius svetainėje.

Dėl fizinio asmenys - iki 5 tr.

Dėl legalaus asmenys - iki 75 tr.

3 dalis Administracinių teisės pažeidimų kodekso 13.11 str
  • Trūksta nemokamos prieigos prie Privatumo politikos kiekvienam svetainės lankytojui.

Dėl fizinio asmenys - iki 1,5 tr.

Dėl IP - iki 10 tr.

Dėl legalaus asmenys - iki 30 tr.

4 dalis Administracinių teisės pažeidimų kodekso 13.11 str
  • Atsisakymas, ignoravimas ar melas reaguojant į vartotojo prašymą suteikti visą informaciją apie tai, kaip yra saugomi ir tvarkomi jo asmens duomenys.

Dėl fizinio asmenys - iki 2 tr.

Dėl IP - iki 15 tr.

Dėl legalaus asmenys - iki 40 tr.

5 dalis Administracinių teisės pažeidimų kodekso 13.11 str
  • Atsisakymas pašalinti PD iš viešos prieigos vartotojo prašymu.
  • Kiti veiksmai, pažeidžiantys subjekto teisę atšaukti sutikimą tvarkyti PD.

Dėl fizinio asmenys - iki 2 tr.

Dėl IP - iki 20 tr.

Dėl legalaus asmenys - iki 45 tr.

6 dalis Administracinių teisės pažeidimų kodekso 13.11 str
  • Programišių ataka, trečiųjų šalių įsilaužimas į duomenų bazes, vartotojų asmeninių duomenų platinimas.

Dėl fizinio asmenys - iki 2 tr.

Dėl IP - iki 20 tr.

Dėl legalaus asmenys - iki 50 tr.

Padarius nusikalstamą veiką, prie baudos pridedamos papildomos nuobaudos, įskaitant išteklių blokavimą ir pažeidėjo areštą.

Kaip tai veikia?

Siekdama nustatyti pažeidimus, „Roskomnadzor“ atlieka planinius, neplaninius (pagal piliečių prašymus) ir dokumentinius (su prašymu pateikti dokumentus) vietų patikrinimus. Pavyzdžiui, 2016 metais audito metu Tambovo miesto teisės bendrovei buvo skirta bauda už atsiliepimo formos patalpinimą be patvirtinančių dokumentų, o 2017 metų žiemą už tokius pažeidimus buvo nubaustos kelios Astrachanės svetainės.

Kaip išvengti baudų ir svetainių blokavimo: 5 žingsniai

  1. Perkelkite duomenų bazes į Rusijos serverius. Tai yra įstatymo N149-FZ „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“ reikalavimas. Įstatymo pažeidimas gali baigtis resurso blokavimu – pavyzdžiui, verslo socialinis tinklas „LinkedIn“ nutraukė veiklą Rusijoje.
  2. Sudarykite du dokumentus – „Asmens duomenų tvarkymo politika“ ir „Naudotojo sutartis“. Atkreipkite dėmesį, kad viešas pasiūlymas pakeičia privatumo politikos dokumentą. Itin svarbu, kad dokumentuose nebūtų faktinių ir teisinių klaidų. Geriausia šį darbą patikėti profesionaliam teisininkui. Įstatymo 9 straipsnyje nurodyta, kad virtualus dokumentas prilygsta popieriniam dokumentui, todėl fizinių dokumentų nereikia.
  3. Prijunkite formą su sutikimu tvarkyti asmens duomenis ir privalomą žymimąjį laukelį prie visų asmens duomenų rinkimo laukelių svetainėje.
  4. Įsitikinkite, kad puslapį su „Asmens duomenų tvarkymo politika“ gali skaityti kiekvienas svetainės vartotojas.
  5. Nusiųskite popierinį ir elektroninį pranešimą Roskomnadzor nustatyta forma - jį galite rasti Roskomnadzor svetainėje. Pagal įstatymo 22 straipsnį ši dalis yra privaloma.

Jeigu abejojate savo teisine kompetencija ar tiesiog nenorite daug laiko skirti formalumams, yra paprastesnis ir praktiškesnis problemos sprendimas – aptarnavimas. Tai paprastas, pigus ir greitas sprendimas jūsų svetainei ir verslui.

Tarp mūsų pasiūlymų tikrai galėsite atsiimti jums patogiai. Jei nenorite atidėlioti problemos sprendimo, galite tai padaryti jau dabar. Jei turite teisinių klausimų, skambinkite mūsų palaikymo komandai. 8 800 100 43 45 arba žemiau komentarų forma.