Kişisel verilerle ilgili kanun n 152 fz. Kişisel verilerin korunması kanununda yenilikler. Güvenlik önlemleri

Alexey Anashkin
Öncü uzman
LLC "Entegre Bilgi Koruması"

27 Temmuz 2006 kabul edildi 152-FZ Sayılı Federal Kanun "Kişisel Veriler Hakkında" mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamak. Bu yasanın kabul edilmesinin nedenlerinden biri, hükümet ve ticari yapılardaki kişisel veri tabanlarının çalınmasına, yaygın olarak satılmasına ilişkin sayısız gerçekti.

"Kişisel veri" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımı da yasanın kabul edilmesinden önce, örneğin, "Gizli bilgiler listesi"nde karşılanmıştır. 188 Sayılı Rusya Federasyonu Cumhurbaşkanı Kararnamesi 6 Mart 1997:

İle kesin bilgişunları içerir: bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, kişiliğini tanımlamaya izin veren bilgiler ( Kişisel bilgi), federal yasalarla belirlenen durumlarda kitle iletişim araçlarında dağıtılacak bilgiler hariç.

Ancak, yasa bunu tamamladı. Şimdi, FZ-152'ye göre, kişisel veriler -

Soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu dahil olmak üzere, bu bilgilere dayanarak (kişisel verilere konu olan) tanımlanan veya belirlenen bir kişiyle ilgili her türlü bilgi , eğitim, meslek, gelir, diğer bilgiler.

Bu nedenle, kişisel veriler her şeyden önce pasaport verileri, medeni hal bilgileri, eğitim bilgileri, TIN numaraları, devlet emeklilik sigortası sigorta sertifikası, sağlık sigortası, iş faaliyeti hakkında bilgiler, sosyal ve mülkiyet durumu, gelir hakkında bilgilerdir. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın kişisel bir kartta, otobiyografide ve bir iş sözleşmesi imzalarken doldurulan diğer belgelerde belirttiği işverenin personel departmanının verileridir.

Bir çocuk bir anaokuluna, okula, enstitüye, diğer eğitim kurumlarına girdiğinde, hem çocuğun (örneğin doğum belgesindeki veriler) hem de ebeveynlerinin (en fazla) verilerini gösteren birçok anket ve form doldurulur. iş yeri, pozisyon).

Sağlık kurumlarında tedavi görürken, sadece pasaport verilerini değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler ve test sonuçları hakkında da bilgi vermek gerekir. Pek çok sağlık kurumunda poliklinik/yatan hasta kartları elektronik ortamda çoğaltılmaktadır.

Ve tüm bu veriler mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve hiç gerekli mi?

Kişisel verilerin gizliliği- kişisel verilere erişim sağlayan bir işletmeci veya başka bir kişi için, kişisel verilerin sahibinin rızası veya diğer yasal gerekçeler olmaksızın dağıtımını önlemek için zorunlu bir gereklilik (FZ-152).

Operatör - bir devlet organı, bir belediye organı, bir tüzel kişilik veya kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen (FZ-152).

Kişisel verilerin bilgi sistemi(ISPD) - veri tabanında bulunan bir dizi kişisel verinin yanı sıra bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine izin veren bilgi teknolojileri ve teknik araçlardan oluşan bir bilgi sistemi (FZ-152).

Kişisel verilerin işlenmesi- bunlar, kişisel verilerin toplanması, sistemleştirilmesi, biriktirilmesi, depolanması, açıklığa kavuşturulması (güncellenmesi, değiştirilmesi), kullanımı, dağıtımı (aktarma dahil), duyarsızlaştırma, engelleme, kişisel verilerin imhası dahil olmak üzere PD ile yapılan eylemlerdir (işlemler).

Kişisel verileri işlerken, operatör, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli tüm organizasyonel ve teknik önlemleri almalıdır.

Kişisel verilerin korunması için ne yapılması gerekiyor?

Öncelikle hangi PD bilgi sistemlerinin var olduğunu ve ne tür PD işlediklerini belirlemek gerekir.

Kişisel veri bilgi sisteminin sınıflandırılması

PD'yi koruma sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntemleri ve araçları seçmek için operatörün ISPD'yi sınıflandırması gerekir. Sınıflandırma sırası tanımlandı Rusya FSTEC, Rusya FSB ve Rusya Bilgi ve İletişim Bakanlığı'nın 13 Şubat 2008 tarih ve 55/86/20 sayılı emriyle.

Böylece operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atamaya karar veren bir komisyon (kuruluş başkanının emriyle) oluşturur. Sınıflandırma sırasında belirlenir:

işlenmiş kişisel veri kategorisi;
işlenen kişisel veri miktarı;
bilgi sistemi türü;
bilgi sisteminin yapısı ve teknik araçlarının yeri;
kişisel veri işleme modları;
kullanıcı erişim haklarının farklılaşma modları;
kamu ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti.

55/86/20 numaralı siparişe göre, tüm bilgi sistemleri (IS) standart ve özel olarak ayrılmıştır.

Tipik bilgi sistemleri- sadece kişisel verilerin gizliliğini gerektiren bilgi sistemleri.

Özel bilgi sistemleri- kişisel verilerin gizliliğini sağlama ihtiyacına bakılmaksızın, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin sağlanmasının gerekli olduğu bilgi sistemleri (imha, değiştirme, engelleme ve diğer yetkisiz diğer izinsiz işlemlerden korunma). hareketler).

Pratikte, pratikte standart IS'lerin olmadığı ortaya çıkıyor, çünkü çoğu durumda, gizliliğe ek olarak, bilgilerin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli. Ek olarak, hatasız olarak özel sistemler şunları içermelidir:

kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
Kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde, kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların alınmasını sağlayan bilgi sistemleri.

Bu nedenle, ilk verilerin analizinin sonuçlarına dayanarak, komisyon uygun sınıfı kişisel veri sistemine atar:

sınıf 1 (K1) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 2 (K2) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırmanın sonuçları, ISPD'nin türünü (tipik, özel), ISPD'ye atanan sınıfı ve kararın verildiği koşulları gösteren ISPD Sınıflandırma Yasası ile belgelenir.

Daha önce de belirtildiği gibi, ISPD'de işlenen PD'yi koruma yöntemlerinin ve araçlarının daha fazla seçimi için sınıflandırma gereklidir, çünkü FSTEC ve FSB belgelerinin her sınıfın ISPD'yi korumak için kendi gereksinimleri vardır, bundan biraz sonra bahsedeceğiz.

İşleme konu olan PD'nin onayı

Daha sonra, bu verilerin işlenmesine devam edilmesi gerekir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun rızasını almak gerekir (kanun böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller) :

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar dışında PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını, kişisel verilerin elde edilmesine ilişkin koşulları ve kişisel verileri işlemeye tabi olan konuların çevresini belirleyen ve ayrıca operatörün yetkilerini belirleyen bir federal yasa temelinde gerçekleştirilir. ;

2) Kişisel verilerin işlenmesinin, kişisel verilerin konusu olan taraflardan birinin sözleşmenin ifası amacıyla gerçekleştirilmesi;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer bilimsel amaçlar için gerçekleştirilir;

4) kişisel verilerin konusunun rızasının alınmasının imkansız olması durumunda, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesinin gerekli olması;

5) kişisel verilerin işlenmesi, posta kuruluşları tarafından posta gönderilerinin teslimi, telekomünikasyon operatörleri tarafından verilen iletişim hizmetleri için iletişim hizmetleri kullanıcıları ile yerleşimlerin uygulanması ve ayrıca iletişim kullanıcılarının taleplerinin değerlendirilmesi için gereklidir. Hizmetler;

6) kişisel verilerin konusunun hak ve özgürlüklerini ihlal etmemek kaydıyla, kişisel verilerin işlenmesinin bir gazetecinin mesleki faaliyetleri veya bilimsel, edebi veya diğer yaratıcı faaliyetler amaçları için gerçekleştirilir;

7) kamu görevlerinde bulunan kişilerin kişisel verileri, devlet memurluğu pozisyonları, seçilmiş eyalet veya belediye pozisyonları için adayların kişisel verileri de dahil olmak üzere yayına tabi kişisel verilerin federal yasalara uygun olarak işlenmesi.

Bu nedenle, PD işleme durumumuz Federal Yasa-152'nin 6. maddesinin 2. bölümünde öngörülmüşse, onay alınması gerekli değildir.

Ayrıca takip etmek gerekli İş Kanunu, Bölüm 14. Örneğin, işveren, çalışanın özel hayatı ile ilgili verileri ancak yazılı rızası ile alma ve işleme hakkına sahiptir. (İş Kanunu'nun 86. Maddesi 4. Kısmı).

Federal Yasa-152'nin 9. Maddesi uyarınca, kişisel verilerinin işlenmesi için kişisel verilerin konusunun rızasının alınması gerekir. yazılı olarak. Kişisel verilerin konusunun yazılı rızası şunları içermelidir:

soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;
kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;
kişisel veri işlemenin amacı;
işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;
rıza verilen kişisel veriler içeren eylemlerin bir listesi, operatörün kişisel verileri işlemek için kullandığı yöntemlerin genel bir açıklaması;
rızanın geçerli olduğu süre ve geri çekilme prosedürü.

PD'nin işlenmesini ve korunmasını düzenleyen yönetmelik

Bu nedenle, operatör (gerekirse) kişisel verilerin işlenmesi için onay almıştır - kişisel veriler işlenebilir. Ancak, göre İş Kanunu ve FZ-152'ye göre, kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin prosedürü düzenleyen bir hüküm geliştirmek (varsa, Federal Kanuna göre kesinleştirmek) gereklidir. Geçici olarak diyelim Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik. Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluşun dahili (yerel) bir belgesidir. Bu belge için kesin bir form yoktur, ancak İş Kanunu ve FZ-152'nin gereksinimlerini karşılaması gerekir ve bu nedenle şunları belirtmelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanır ve başkanın talimatı ile yürürlüğe konulur. İşveren, çalışana imza karşılığı Yönetmelikler hakkında bilgi vermekle yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ayrıca, yayınlamak için gerekli PD işlemeye kabul edilen kişilerin listesi, yani resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin (pozisyona göre) listesi. Her şeyden önce, bunlar personel servisinin çalışanlarıdır, çünkü hem çalışan hem de muhasebe departmanı çalışanları hakkında veri toplar ve oluştururlar. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir - ve bu da listeye yansıtılmalıdır. Bununla birlikte, hepsinin herhangi bir veri talep etme hakkı yoktur, ancak yalnızca belirli işgücü işlevlerini yerine getirmek için gerekli olanları (örneğin, vergi avantajlarını hesaplamak için muhasebe departmanı çalışanla ilgili tüm bilgileri almaz, yalnızca bağımlılarının sayısına ilişkin veriler). Bu nedenle, kullanıcılara izin verilen bilgi kaynaklarının bir listesinin yazılması tavsiye edilir.

PD'nin işlenmesine kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin eki veya başkan tarafından onaylanan ayrı bir belge şeklinde düzenlenebilir.

Roskomnadzor bildirimi

Ayrıca, Federal Yasa-152'nin 22. maddesi uyarınca, operatör, kişisel verilerin işlenmesinden önce, kişisel verilerin konularının haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür (bugün Federal Hizmettir). tarafından öngörülen durumlar dışında, PD'yi işleme niyetinin İletişim, Bilgi Teknolojisi ve Kitle İletişiminin (Roskomnadzor) Denetlenmesi için Madde 22 FZ-152'nin 2. Kısmı:

Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

1) işletmeci ile iş ilişkileri ile ilişkilendirilen kişisel veri sahiplerine ilişkin;

2) kişisel verilerin dağıtılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmemesi ve kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan ve işletmeci tarafından yalnızca söz konusu sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için kullanılması;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve Rusya Federasyonu mevzuatına uygun olarak hareket eden ilgili kamu kuruluşu veya dini kuruluş tarafından, kurucu belgelerinde öngörülen meşru hedeflere ulaşmak için işlenen, kişisel olması koşuluyla; kişisel veri sahiplerinin yazılı onayı olmadan veriler dağıtılmayacaktır;

4) kamuya açık kişisel veri olması;

5) kişisel veri konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) kişisel verilerin konusunun operatörün bulunduğu bölgeye tek geçişi veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde yer alan;

8) işleme sırasında kişisel verilerin güvenliğini sağlamak ve kişisel verilerin konularının haklarını gözetmek için gereksinimleri belirleyen federal yasalara veya Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemelerine uygun olarak otomasyon kullanılmadan işlenir.

Bildirim gereksinimleri, 22 FZ-152 maddesinin 3. bölümü. Kişisel verilerin (işleme niyetinin) işlenmesine ilişkin bildirim formu elektronik olarak Roskomnadzor web sitesinde doldurulabilir: http://pd.rsoc.ru/operators-registry/notification/form/

Artık en zor ve sorunlu sorunu aynı anda çözerek kişisel verileri işlemeye başlayabilirsiniz - Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgileri korumaya yönelik önlemler zaman alıcıdır ve aşağıdaki ihtiyaçlardan dolayı önemli finansal maliyetlere yol açabilir:

(gerekirse) Rusya FSTEC'inin gizli bilgilerinin teknik koruması için bir lisans almak;
ISPD'yi korumak için bir sistem oluşturmak ve / veya bilgi güvenliği gereksinimlerine göre sertifikalandırmak için faaliyetler yürütmek üzere Rusya FSTEC'in lisans sahibini dahil etmek;
bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konularında ileri eğitim kurslarına göndermek ve/veya bilgi güvenliği uzmanları işe almak;
ISPD sınıfına bağlı olarak FSTEC sertifikalı bilgi güvenliği araçlarını (SrZI), FSB sertifikalı kriptografik bilgi güvenliği araçlarını (CIPF) kurun.

Kendiniz bir şeyler yapabilirsiniz, ancak bir yerde uzmanlara güvenmek daha iyidir. Ancak kişisel verilerin bir şekilde korunması gerekir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler"
15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin düzenlemeler"
6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Biyometrik kişisel verilerin ve bu tür verilerin kişisel veri bilgi sistemleri dışında depolanması için teknolojilerin maddi taşıyıcıları için gereklilikler"
Rusya Devlet Teknik Komisyonu'nun 30 Ağustos 2002 tarih ve 282 sayılı emriyle onaylanan gizli bilgilerin (STR-K) teknik korunması için özel gereksinimler ve öneriler (DSP)
15 Şubat 2008 tarihli kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli (Özet, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanallarından bilgi sızıntısı tehditleri göz önüne alındığında), bu belgenin tam sürümünü uygulamak için gerekli - DSP)
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik fiili tehditleri belirleme metodolojisi ("Resmi kullanım için" işareti, 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin öneriler ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin organizasyonu ve teknik güvenliği için temel önlemler ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
Otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kripto araçlar kullanılarak kişisel verilerin güvenliğinin sağlanmasına yönelik yönergeler. FSB, 21 Şubat 2008
Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kullanılıyorsa, devlet sırrı oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış şifreleme (kriptografik) araçlarının düzenlenmesi ve işleyişinin sağlanması için standart gereksinimler. FSB, 21 Şubat 2008

ISPD'de işlenirken PD'nin güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların birçoğu vardır ve bunlar büyük ölçüde belirli ISPD'ye bağlıdır. Operatörler için genellikle zorluklara neden olan ana noktalar üzerinde duralım.

Lisans - almak veya almamak?

Mevzuat ve FSTEC belgeleri bize şunları söyler:

Madde 16, bölüm 6 FZ-149 27 Temmuz 2006 tarihli "Bilgi, bilgi teknolojileri ve bilgi koruması hakkında":

Federal yasalar, belirli bilgi güvenliği araçlarının kullanımına ve belirli türdeki bilgi güvenliği etkinliklerinin uygulanmasına ilişkin kısıtlamalar getirebilir.

Federal Yasa-128'in 17. Maddesi, 1. Kısmı, 11. Maddesi 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasa uyarınca, aşağıdaki faaliyet türleri lisanslamaya tabidir: gizli bilgilerin teknik olarak korunmasına yönelik faaliyetler.

504 Sayılı Rusya Federasyonu Hükümeti Kararnamesi 15 Ağustos 2006 tarihli "Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Üzerine"

Gizli bilgilerin teknik olarak korunması, teknik kanallar da dahil olmak üzere yetkisiz erişime ve ayrıca bu bilgileri yok etmek, çarpıtmak veya erişimi engellemek için bu tür bilgiler üzerindeki özel etkilerden korunması için bir dizi önlem ve (veya) hizmet olarak anlaşılır. O.

Ana olaylar… FSTEC
Madde 3.14

128 Sayılı “Belirli Faaliyet Türlerinin Lisanslanması Hakkında” Federal Kanun hükümleri ve 504 Sayılı “Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Hakkında” Hükümet Kararnamesi gereklilikleri uyarınca, ISPD operatörleri güvenliği sağlamak için önlemler alırken ISPD 1 , 2 ve 3 (dağıtılmış sistemler) sınıflarında işlenmeleri sırasında PD (gizli bilgiler) Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerde bulunma lisansı yerleşik düzene göre.

Ayrıca lisans gerekliliği ile ilgili soruyu da yanıtladı Rusya FSTEC Bölüm Başkanı NAZAROV Igor Grigorievich"Connect! World of Communication" dergisi tarafından düzenlenen yuvarlak masa toplantısında (http://www.connect.ru/article.asp?id=9406):

Soru: ISPD'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik korunması için bir lisans almaları gerekiyor mu?

Igor Nazarov: FSTEC belgelerine göre, sınıf 1, 2 bilgi sistemleri ve sınıf 3 coğrafi olarak dağıtılmış sistemler üzerinde bağımsız olarak bu tür faaliyetleri yürüten PD operatörleri için bir lisans gereklidir, kural olarak bunlar büyük devlet bilgi sistemleridir. Aynı zamanda 3. ve 4. sınıf ISPD'ye sahip poliklinikler, kreşler, eczaneler vb. için bu tür ruhsatların alınması gerekli değildir.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD operatörü yetkili bir kişi ile bilgi koruma (PD) açısından ilgili önlemleri almak için bir anlaşma yaparsa - şirketin lisans sahibi Rusya'nın FSTEC'i, lisans almasına gerek yok.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak (ISPD'yi korumak için bir sistem oluşturmak, sertifikalandırma) için TZKI için bir FSTEC lisansı almak yerine, FSTEC'den bir lisans sahibi çekmek daha uygun maliyetli olacaktır, gerekli tüm işleri kim yapacak.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.) kendileri için bir lisans almak ve gerekli tüm işleri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerin yürütülmesi için lisans verilmesi prosedürü tanımlanmıştır " Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler” (15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır). Lisans almak için gerekenler:

a) teknik bilgi güvenliği veya yüksek veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitime sahip ve teknik bilgi güvenliği konusunda yeniden eğitim veya ileri eğitim almış uzmanların lisans adayının (lisans sahibi) durumunda bulunması;

b) lisans adayının (lisans sahibi), Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan bilgilerin teknik korunmasına ilişkin teknik standartları ve gereklilikleri karşılayan ve mülkiyet hakkına ait olan lisanslı faaliyetin uygulanması için tesislere sahip olması veya başka bir yasal temelde;

c) Rusya Federasyonu mevzuatına uygun olarak metrolojik doğrulamadan (kalibrasyon), işaretlemeden ve sertifikalandırmadan geçen üretim, test ve kontrol ve ölçüm ekipmanının herhangi bir yasal temelde mevcudiyeti;

d) Rusya Federasyonu mevzuatına göre gizli bilgileri işleyen otomatik sistemlerin yanı sıra uygunluk değerlendirme prosedürünü geçen (onaylanmış ve (veya) bilgi güvenliği gerekliliklerine göre onaylanmış) bu tür bilgileri koruma araçları;

e) lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların, hak sahipleri ile yapılan bir anlaşma temelinde kullanılması;

f) Federal Teknik ve İhracat Kontrolü Servisi tarafından oluşturulan listeye uygun olarak bilgilerin teknik korunmasına ilişkin düzenleyici yasal düzenlemelerin, düzenleyici ve metodolojik ve metodolojik belgelerin mevcudiyeti.

SZPDn oluşturma aşamaları

Buna göre Ana aktiviteler FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin organizasyonu ve teknik güvenliği için bir kişisel veri koruma sisteminin (PSPD) oluşturulması aşağıdaki adımlardan oluşur:

1. Proje öncesi aşama

1.1 Bilgilendirme nesnesinin denetimi:

ISPD'de PD işleme ihtiyacının belirlenmesi;
korunacak PD listesinin belirlenmesi;
kontrollü bölgenin (KZ) sınırlarına göre ISPD'nin konumu için koşulların belirlenmesi;
ISPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve bireysel bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
korunan ISPD'de kullanılan teknik araçların ve sistemlerin, yerlerinin koşullarının belirlenmesi;
korumalı ISPD'de kullanılan sistem çapında, özel ve uygulama yazılımlarının tanımı;
ISPD'de bir bütün olarak ve bireysel bileşenlerde bilgi işleme modunun belirlenmesi;
ISPD'nin sınıflandırılması;
personelin bilgilerin işlenmesine (tartışma, iletim, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
bilgi güvenliğine yönelik güvenlik açıkları ve tehditlerin bir listesinin belirlenmesi ve derlenmesi, tehditlerin bilgi güvenliğine uygunluğunun değerlendirilmesi;
özel bir tehdit modelinin geliştirilmesi.

1.2 SPPD'nin oluşturulması için aşağıdakileri içermesi gereken görev tanımlarının geliştirilmesi:

SZPDn geliştirme ihtiyacının doğrulanması;
teknik, programatik, bilgilendirici ve organizasyonel yönlerden ISPD'nin ilk verileri;
ISPD sınıfı;
SDPD'nin geliştirileceği ve ISPD'nin faaliyete geçirileceği dikkate alınarak düzenleyici belgelere bir bağlantı;
SPPD için önlemlerin ve gereksinimlerin somutlaştırılması;
kullanılması amaçlanan sertifikalı bilgi koruma araçlarının bir listesi;
piyasada bulunan sertifikalı bilgi güvenliği araçlarını kullanmanın imkansız veya uygunsuz olması durumunda kendi bilgi güvenliği araçlarının geliştirilmesi için gerekçe;
SPPD'nin geliştirilmesi ve uygulanması aşamalarındaki çalışmaların bileşimi, içeriği ve zamanlaması.

2. SPPD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel için izin verilen bir erişim sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve konfigürasyonu;

2.6 bilgi güvenliği araçlarının işletilmesinden sorumlu birimlerin ve kişilerin belirlenmesi, atanmış kişilerin PD'nin korunmasına ilişkin çalışmaların özellikleri konusunda eğitimi;

2.7 ISPD ve bilgi güvenliği araçları için operasyonel dokümantasyonun yanı sıra bilgi güvenliği için organizasyonel ve idari dokümantasyonun (yönetmelikler, emirler, talimatlar ve diğer dokümanlar) geliştirilmesi;

2.8 bilgileri korumaya yönelik diğer tedbirlerin uygulanması.

3. CPAP'nin uygulanma aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için bilgi güvenliği araçlarının diğer donanım ve yazılımlarla birlikte denenmesi;

3.2 bir kabul sertifikasının yürütülmesi ile deneme çalışmasının sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimleri için sertifika (beyan).

4. Bilgi güvenliği sisteminin bakımı ve desteği

PD'nin korunması için organizasyonel ve idari belgeler

Oluşturulan kişisel veri koruma sisteminin teknik çözümlerine ek olarak, işletmeci, ISPD'de işlenmesi ve PDPD'nin işletilmesi sırasında PD'nin güvenliğini sağlamak için ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür birçok belge var, ana olanlar:

1. PD güvenliğinin sağlanmasına ilişkin yönetmelik- makalenin başında, bu belgenin amacına ve bileşimine zaten değindik. Her ihtimale karşı, tekrar edelim - şunu belirtmelidir:

kişisel verilerin korunması alanındaki amaç ve hedefler;
kişisel verilerin kavramı ve bileşimi;
bu verilerin hangi yapısal birimlerde ve hangi ortamda (kağıt, elektronik) biriktiği ve depolandığı;
kişisel verilerin nasıl toplandığı ve saklandığı;
nasıl işlendiği ve kullanıldığı;
firma içinde kimlerin (pozisyona göre) bunlara erişimi var;
yetkisiz erişim dahil olmak üzere PD koruma ilkeleri;
çalışanın kişisel verilerinin korunmasını sağlamak için hakları;
çalışanların kişisel verileriyle ilgili gizli bilgilerin ifşa edilmesi sorumluluğu.

2. ISPD'de PD ile çalışmak üzere kabul edilen kişilerin kabulü ve muhasebesi için bir sistem düzenlemek, - PD işlemeye kabul edilen kişilerin listesi(resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin bir listesi) ve bir Erişim Matrisi (kullanıcıların ISPD'nin belirli bilgi kaynakları - okuma, yazma, güncelleme, silme ile ilgili belirli eylemleri gerçekleştirme yetkisini yansıtmalıdır) . Her iki belge de başkan tarafından onaylanır.

3. Özel tehdit modeli(birkaç ISPD varsa, her biri için bir tehdit modeli geliştirilir) - bir ön anketin sonuçlarına göre geliştirildi. Rusya'nın FSTEC'i, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veri güvenliği tehditlerinin Temel bir modelini önermektedir, buna göre, özel bir model oluştururken aşağıdakilerin dikkate alınması gerekir:

teknik kanallardan bilgi sızıntısı tehditleri;
ISPD'ye erişimi olan, tehditleri doğrudan ISPD'de uygulayan ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlalciler olarak değerlendirmek gerekir;
ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli yönetici tarafından onaylanır.

4. Onaylı ISPD tehdit modeline dayalı olarak, ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamak için gereklilikler. Tehdit modeli gibi gereksinimler, kuruluşun başkanı tarafından onaylanması gereken bağımsız bir belgedir.

Bir tehdit ve gereksinim modeli geliştirmek için operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamaya yönelik talimatlar.

Ayrıca, PD'yi korumak için tüm önlemleri almadan önce, operatör PD'nin güvenliğini sağlamaktan sorumlu bir yetkili veya (PDIS yeterince büyükse) yapısal bir birim atamalıdır. Randevu kararı, başın emriyle verilir. PD'nin güvenliğini sağlamaktan sorumlu yetkilinin (departmanın) görev, işlev ve yetkileri, iç organizasyonel ve idari belgelerle belirlenir ( iş tanımları, yönetmelikler).

Sertifika almak için neler gereklidir, neler değildir?

Kullanılan tüm yazılımların sertifikalandırılması gerektiği ve sertifikalandırmanın pahalı ve zaman alıcı olduğu genellikle yanlış anlaşılır.

Ancak, PD koruması konularını düzenleyen belgelerin hiçbiri, tüm yazılımların sertifikalandırılması gerektiğini söylemez. Bilgi güvenliği araçları, Rusya'nın FSTEC gereksinimlerine göre sertifikalandırılmalıdır, ancak ISPD'nin korunmasına dahil olmayan sistem, uygulama veya özel yazılımlar için onaylanmamalıdır.

Igor Nazarov: … NDV endişelerinin yokluğunun kontrolü için sertifika güvenlik işlevi, yani koruma araçları ve bilgi sisteminde kullanılan tüm yazılımlar değil (http://www.connect.ru/article.asp?id=9406).

Bugün, Teknik ve İhracat Kontrolü Federal Servisi'nin web sitesinde görüntülenebilen FSTEC belgeleri bize bu konuda şunları söylüyor:

ISPD'de sadece bilgi güvenliği gerekliliklerine göre sertifikalandırılmış teknik araçlar ve koruma sistemleri kullanılmalıdır.

Ana olaylar…

Madde 4.2: ... ISPD'de, yazılım ve bellenimde bildirilmemiş yeteneklerin varlığı ve sistem ve uygulama yazılımının güvenliğinin analizi için kontrol yapılmalıdır.

Madde 4.3: Yazılım için, bilgilerin korunmasında kullanılan ISPD'de (genel sistem ve uygulama yazılımında yerleşik olanlar da dahil olmak üzere bilgi güvenliği araçları), içinde NDV'nin yokluğu üzerinde uygun bir kontrol düzeyi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmazsa sistem ve uygulama yazılımının sertifikalandırılması gerekli değildir - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma uygulaması, kullanılmasının gerekli olduğunu göstermektedir. lisanslı yazılım(sistem, uygulama ve özel yazılım) ve sertifikalı bilgi güvenliği ve anti-virüs koruması araçları(bunlar NSD'den SrZI, anti-virüs ürünleri, güvenlik duvarları, izinsiz giriş tespit araçları, belirli bir sınıfa karşılık gelen güvenlik analiz araçları olabilir). ISPD ayarlarsa bilgi korumanın kriptografik araçları (CIPF), daha sonra Rusya'nın FSB'sinin gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı CIPF yükleme hakkına sahip olduğu ve FSB lisans sahibinin CIPF yükleme hakkına sahip olduğu belirtilmelidir.

sertifika

Bir ISPD koruma sisteminin oluşturulmasındaki son aşama, sertifikalandırma (uygunluk beyanı) olmalıdır - bunun sonucunda, özel bir belge aracılığıyla - Uygunluk Sertifikası (Sonuç), bunun sonucunda bir dizi organizasyonel ve teknik önlem olmalıdır. ISPD'nin bilgi güvenliğine ilişkin standartların veya diğer düzenleyici ve metodolojik belgelerin gerekliliklerine uygun olduğu onaylanmıştır. Geçerli bir Uygunluk Onayının varlığı, Uygunluk Onayı'nda belirtilen süre boyunca bilgileri uygun gizlilik düzeyiyle işleme hakkı verir.

Soru: İşyerlerinin kişisel veri alanında mevzuat ve yönetmeliklerin gerekliliklerine uygunluğunu kimler onaylayabilir?

Igor Nazarov: Bilgi güvenliği gerekliliklerine uygunluk için ISPD sertifikası, gizli bilgilerin teknik korunması için lisansa sahip FSTEC lisans sahipleri tarafından gerçekleştirilebilir (http://www.connect.ru/article.asp?id=9406).

Sertifikasyon, benimsenen koruma önlemleri setinin gerekli PD güvenliği düzeyine uygunluğunu değerlendirmek için gerçek çalışma koşullarında ISPD'nin kapsamlı bir kontrolünü (sertifikasyon testleri) sağlar.

Genel olarak, ISPD'nin bilgi güvenliği gereksinimlerine göre sertifikalandırılması aşağıdaki adımları içerir:

sertifikalı ISPD'ye ilişkin ilk verilerin analizi;
ISPD'nin uzman incelemesinin yapılması ve düzenleyici ve metodolojik belgelerin gerekliliklerine uygunluk için PD'nin güvenliğini sağlamak için geliştirilen belgelerin analizi;
güvenliği yetkisiz erişime karşı izlemek için özel kontrol ekipmanı ve yazılım araçları kullanarak gerçek çalışma koşullarında ISPD'nin karmaşık sertifikasyon testlerini gerçekleştirmek;
karmaşık tasdik testlerinin sonuçlarının analizi, tasdik sonuçlarına dayalı olarak Sonuç ve Uygunluk Belgesinin yürütülmesi ve onaylanması.

Önemli olan nokta şu ki koşullarda ve işleme teknolojisinde değişiklik olması durumunda PD işleticisi, bunu ISPD sertifikasyonunu gerçekleştiren lisans sahibi kuruluşa bildirmekle yükümlüdür. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek doğrulama ihtiyacına karar verir.

Yasanın gerekliliklerine uymama sorumluluğu ve riskleri

PD güvenliğinin sağlanmasına ilişkin gerekliliklerin yerine getirilmemesi durumunda, işletmeci müşterilerden veya çalışanlardan hukuk davası açma riskleri ile karşı karşıya kalabilir.

Hangi sırayla, şirketin itibarını etkileyebilir ve ayrıca PD işleminin zorunlu olarak askıya alınmasına (fesih) yol açabilir, şirketi ve (veya) başkanını idari veya diğer tür sorumluluklara sokar ve belirli koşullar altında - lisansların askıya alınması veya iptali için. Ek olarak, Federal Yasaya göre, gereklilikleri ihlal etmekten suçlu bulunan kişiler, Rusya Federasyonu mevzuatının öngördüğü medeni, cezai, idari, disiplin ve diğer sorumluluklara sahiptir (Federal Yasanın 152. Maddesi):

Disiplin (Rusya Federasyonu İş Kanunu, maddeler 81, 90, 195, 237, 391);
İdari (Rusya Federasyonu İdari Suçlar Kanunu, 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Ceza (Rusya Federasyonu Ceza Kanunu, 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Ve sonuç nedir?...

Artık pek çok kişi, günümüz mevzuatının ve düzenleyici ve metodolojik belgelerin birçok yanlışlık ve hatta bazı açılardan aşırılıklara sahip olduğunu söylüyor.

Birçoğu, Aralık 2009'da FZ-152'nin gerekliliklerini yerine getirmek için son tarihlerin Ocak 2011'e kadar uzatılmasına karar verildiğini umuyor.

Ancak bundan bağımsız olarak, kişisel verilerin korunması ihtiyacı devam etmektedir.

Dolayısıyla bu sorunun çözümünü sonsuza kadar ertelememelisiniz ve artık kişisel verilerin güvenliğini sağlamak için gerekli önlemleri almanız gerekiyor.

RUSYA FEDERASYONU
FEDERAL HUKUK
27 Temmuz 2006 tarihli N 152-FZ
KİŞİSEL VERİLER HAKKINDA

Devlet Duması tarafından kabul edildi
8 Temmuz 2006
Federasyon Konseyi tarafından onaylandı
14 Temmuz 2006

Bölüm 1. GENEL HÜKÜMLER

Madde 1 Bu Federal Yasanın Kapsamı

1. Bu Federal Yasa, federal devlet makamları, Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları, diğer devlet organları (bundan sonra devlet organları olarak anılacaktır), bir parçası olmayan yerel yönetimler tarafından yürütülen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. yerel yönetimler sisteminin belediye organları (bundan böyle belediye makamları olarak anılacaktır), tüzel kişiler, otomasyon araçlarını kullanan veya bu araçları kullanmayan bireyler tarafından, kişisel verilerin bu araçları kullanmadan işlenmesi, gerçekleştirilen eylemlerin (işlemlerin) niteliğine uygunsa, otomasyon araçlarını kullanarak kişisel verilerle.

2. Bu Federal Yasa, aşağıdakilerden kaynaklanan ilişkiler için geçerli değildir:

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

2) Rusya Federasyonu Arşiv Fonu'nun kişisel verilerini içeren belgelerin ve Rusya Federasyonu'ndaki arşivleme mevzuatına uygun olarak diğer arşiv belgelerinin depolanması, elde edilmesi, muhasebeleştirilmesi ve kullanılması;

3) bireysel girişimcilerin birleşik devlet siciline dahil edilecek bireyler hakkındaki bilgilerin işlenmesi, eğer bu tür bir işlem, bir bireyin bireysel girişimci olarak faaliyetleri ile bağlantılı olarak Rusya Federasyonu mevzuatına uygun olarak gerçekleştirilirse;

4) belirlenen usule göre sınıflandırılan kişisel verilerin devlet sırrı oluşturan bilgi olarak işlenmesi.

makale 2 Bu Federal Yasanın Amacı

Bu Federal Yasanın amacı, özel hayatın gizliliği, kişisel ve aile sırlarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve vatandaşın hak ve özgürlüklerinin korunmasını sağlamaktır.

Madde 3 Bu Federal Kanunda kullanılan temel kavramlar

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

1) kişisel veriler - soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi dahil olmak üzere, bu bilgilere dayanarak (kişisel verilere konu olan) tanımlanan veya belirlenen bir kişiyle ilgili her türlü bilgi , sosyal, mülkiyet durumu, eğitim, meslek, gelir, diğer bilgiler;

2) operatör - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet organı, belediye organı, tüzel veya gerçek kişi;

3) kişisel verilerin işlenmesi - toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma, engelleme, kişisel verilerin imhası dahil olmak üzere kişisel verilerle eylemler (işlemler);

4) kişisel verilerin yayılması - kişisel verilerin belirli bir kişi çevresine aktarılmasına (kişisel verilerin aktarılması) veya kişisel verilerin medyada açıklanması da dahil olmak üzere sınırsız sayıda kişinin kişisel verilerinin tanınmasına yönelik eylemler, bilgi ve telekomünikasyon ağlarına yerleştirme veya başka bir şekilde kişisel verilere erişim sağlama;

5) kişisel verilerin kullanımı - kişisel verilerin konusu veya diğer kişilerle ilgili olarak yasal sonuçlara yol açan veya başka bir şekilde hakları etkileyen kararlar almak veya diğer eylemleri gerçekleştirmek için operatör tarafından gerçekleştirilen kişisel verilerle eylemler (işlemler). kişisel verilerin konusunun veya diğer kişilerin özgürlükleri;

6) kişisel verilerin engellenmesi - aktarımları da dahil olmak üzere kişisel verilerin toplanmasının, sistemleştirilmesinin, biriktirilmesinin, kullanılmasının, dağıtılmasının geçici olarak askıya alınması;

7) kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız olduğu veya bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;

8) kişisel verilerin duyarsızlaştırılması - kişisel verilerin belirli bir kişisel veri konusu tarafından kişisel verilerin sahipliğini belirlemenin imkansız olduğu eylemler;

9) kişisel veri bilgi sistemi - bir veri tabanında bulunan bir dizi kişisel verinin yanı sıra bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine izin veren bilgi teknolojileri ve teknik araçlardan oluşan bir bilgi sistemi;

10) kişisel verilerin gizliliği - bir operatör veya kişisel verilere erişim elde eden diğer kişiler için, kişisel verilerin konusunun rızası veya diğer yasal gerekçeler olmadan bunların dağıtımını önlemek için zorunlu bir gereklilik;

11) kişisel verilerin sınır ötesi aktarımı - kişisel verilerin Rusya Federasyonu Devlet Sınırı boyunca bir operatör tarafından yabancı bir devletin yetkilisine, yabancı bir devletin bireysel veya tüzel kişiliğine aktarılması;

12) kamuya açık kişisel veriler - kişisel verilerin konusunun rızası ile sınırsız sayıda kişiye erişim verilen veya federal yasalara göre gizlilik şartına tabi olmayan kişisel veriler.

Madde 4 Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

1. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı, Rusya Federasyonu Anayasası'na ve Rusya Federasyonu'nun uluslararası anlaşmalarına dayanmaktadır ve bu Federal Yasa ile verilerin işlenmesinin durumlarını ve özelliklerini belirleyen diğer federal yasalardan oluşmaktadır. kişisel veri.

2. Federal yasalar temelinde ve bu yasalar uyarınca, devlet organları yetkileri dahilinde kişisel verilerin işlenmesiyle ilgili belirli konularda düzenleyici yasal düzenlemeler kabul edebilir. Kişisel verilerin işlenmesine ilişkin belirli hususlara ilişkin normatif yasal düzenlemeler, kişisel verilerin konularının haklarını kısıtlayan hükümler içeremez. Belirtilen düzenleyici yasal düzenlemeler, düzenleyici yasal düzenlemeler veya erişim federal yasalarla sınırlandırılmış bilgi içeren bu tür düzenleyici yasal düzenlemelerin belirli hükümleri hariç olmak üzere resmi yayına tabidir.

3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri, bu Federal Yasanın hükümlerine tabi olarak, federal yasalar ve Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemeleri tarafından belirlenebilir.

4. Rusya Federasyonu'nun uluslararası bir antlaşması, bu Federal Yasa tarafından öngörülenlerin dışında kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.

Sayfa 1 - 1 / 4
Ana Sayfa | Öncesi | 1 |

Bu yazıda, N 152 “Kişisel Veriler Üzerine” Federal Kanun döneminde sıradan bir çevrimiçi işin nasıl yaşanacağını açık ve erişilebilir (mümkünse iyi) açıklamaya çalışacağız. Daha doğrusu, kendinizi bundan nasıl koruyacağınızı anlatacağız.

Bu nedenle, yeni başlayanlar için, belirli bir kişiyi karakterize eden tam adın, telefon numarasının, postanın, adresin ve diğer verilerin olduğunu hatırlamalısınız. kişisel. Ve onları bir telefon görüşmesi sonucunda bile elde etmek onların işidir. işleme. Bu nedenle, kesinlikle herhangi bir ticari web sitesinin faaliyeti yeni harika yasa kapsamına girer. Yaşasın yoldaşlar.

Neden korkuyorsun?

01 Temmuz 2017'den bu yana, Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinde, kişisel veriler alanındaki mevzuat ihlallerinin yeni unsurları ortaya çıktı (1 idi, 7 oldu).
Para cezası miktarı 10.000 ruble'den 290.000 ruble'ye yükseldi. Azami para cezası miktarı, Sanatın 1 - 6 paragrafları kapsamındaki tüm gereklilikleri kesinlikle ihlal edenleri tehdit eder. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Bu oldukça zor, ancak daha fazlası aşağıda.

Kim ceza alacak?

Operatörler, yani kişisel verileri toplayanlar da dahil olmak üzere işleyenler para cezasına çarptırılacaktır. Bir ad ve telefon numarası (veya e-posta) için basit bir istek zaten işleniyor.
Kişisel verileri işlediğinizi onaylamak için Roskomnadzor'un yalnızca web sitenizde bir geri bildirim formu görmesi, bir haber bültenine abone olması veya kişisel hesabınıza kaydolmanız gerekir. Bu durumlarda, yasalara tabi olursunuz ve geçmiş kontrolüne tabi olabilirsiniz.
Bu nedenle, Savunucuyu N 152 Federal Yasasından yaptık.

Callibri.ru'nun müşterisiyiz, nasıl yasal olunur?

Federal Yasa 152'den Savunucu - hem sizin hem de işimizin 152 sayılı Federal Yasanın gerekliliklerine tam olarak uygun şekilde çalışması için belge oluşturma sistemi.

İşte yapılması gerekenler:

İşte böyle görünüyor:

Önemli!

Hepsi bu mu? Şimdi 290 tr'ye bağlı kalmayacak mıyım?

Tam olarak değil. Koruyucu yalnızca şu durumlarda çalışır:

veri toplama yöntemleri, ayarlarda seçtiğiniz yöntemlerden farklı değildir;
veri toplama amaçları, ayarlarda seçtiğinizden farklı değildir;
toplama ve işleme için Callibri.ru dışındaki hizmetleri kullanmazsınız.

Diğer tüm durumlarda, sorun yaşayabilirsiniz. Aşağıda onlar hakkında.

Kişisel verileri toplayan diğer hizmetleri kullanıyorum. Nasıl yasal olunur?

Her şeyi cehenneme sil. Diğer hizmetlerin 152 sayılı “Kişisel Veriler Hakkında” Federal Yasasının gerekliliklerine uygunluğundan sorumlu tutulamayız. Portföyümüzün ihtiyacınız olan her şeye sahip olması iyi bir şey: çağrı izleme, geri arama, çevrimiçi çağrı, başvuru ve çevrimiçi danışman.
Callibri'yi bağlayın

Ancak diğer hizmetleri ve/veya kişisel verilerinizi işleme amaçlarınızı ve/veya yöntemlerinizi gerçekten kullanmak istiyorsanız farklı Callibri.ru tarafından önerilenlerden, kişisel verilerin işlenmesiyle ilgili belgelerinizi geliştirmek, uygulamak ve Roskomnadzor'un sonuçlarına göre kontrol etmesini ve cezalandırmasını beklemek için harici danışmanları görevlendirmeniz gerekecektir. Ve bu 290 tr'ye kadar.

Defender tam olarak nelerden tasarruf edecek?

İlk olarak, siteniz tüm yasal gerekliliklere uyacaktır (madde 2, bölüm 2, madde 5, bölüm 1, bölüm 2, 152 N sayılı “Kişisel Veriler Hakkında” Federal Yasasının 18.1 maddesi). Bu, inceleme başlatma riskini büyük ölçüde azaltır ve müşterilerinizin gözünde güvenilirliğinizi artırır. İkincisi, Roskomnadzor'un:

30.000 rubleye kadar para cezası. Politikaya sınırsız erişim sağlamadığı için (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 3. kısmı).
Örneğin: Sitede Politika bulunmaması nedeniyle ceza verin.
50.000 rubleye kadar para cezası. toplama amaçlarıyla bağdaşmayan kişisel verilerin işlenmesi için.
Örneğin: teslimat için basit bir tam ad ve adres yeterli olduğunda, malları teslim ediyor ve pasaportunuzun taranmasını istiyorsunuz.

Roskomnadzor'u bizim için bilgilendirir misiniz?

Hayır, yapmayacağız. Bu gereksiz. Tanrı kutsasın. Şimdilik.

Roskomnadzor'u bilgilendirmek neden gerekli değil?

Sanatın 2. bölümüne göre. 22 FZ N 152, operatör bazı durumlarda Roskomnadzor'a haber vermeden kişisel verileri işleme hakkına sahiptir. Hepsini listelemeyeceğiz, ama en önemlisi:
Operatör tarafından kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesi ile bağlantılı olarak, kişisel veriler dağıtılmadığı takdirde alınır ve kişisel verilerin konusunun rızası olmadan üçüncü taraflara verilmez ve tarafından kullanılır. işletmeci yalnızca söz konusu sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için;
Onlar. topladığınız ve işlediğiniz kişisel veriler

kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmeyen;
yalnızca alındıkları sonuçla bağlantılı olarak sözleşmenin yerine getirilmesi ve kişisel verilerin konusuyla sözleşmelerin yapılması için kullanılır;

Roskomnadzor'a haber vermenize gerek yok!

Ve bir çok insan ihtiyacı olduğunu söylüyor...

Kanun tartışmalıdır, bu konuda vicdansız avukatların birçok görüşü, yorumu ve spekülasyonları vardır. Henüz bir içtihat yok. Bu yüzden unutmayın: küresel olarak 3 seçeneğiniz var

Tamamen yasadışı ol. Burada konuşacağımız bir şey yok. Riskler bu makalede anlatılandan çok daha fazladır;
Callibri'den gelen belgeler sayesinde yasal olarak çalışın. Ancak Roskomnadzor'a haber vermeyin;
Yasal olarak çalışın ve Roskomnadzor'u bilgilendirin ve kişisel veri operatörlerinin sicilinde görünün.

2. seçeneği öneriyoruz, çünkü bu durumda, zamanınız ve emeğiniz 30 dakika olacaktır (bu makaleyi okumak, anketi doldurmak ve siparişi imzalamak için). Ve eğer Roskomnadzor bir şeyi beğenmezse (yani, bildirim eksikliği nedeniyle) maksimum para cezası 5 bin ruble (tüzel kişiler için) olacaktır.
3. seçenekte, daha fazla çaba ve paraya ihtiyacınız olacak ve planlı bir inceleme olasılığı önemli ölçüde artacaktır.
Bu nedenle FZ N 152 koruma yapıcımızın çoğu işletme için yeterli olacağına inanıyoruz.

Tüm ziyaretçileri çerezlerin işlenmesi konusunda uyarmanız mı gerekiyor?

Burada, her zaman olduğu gibi, iki avukat - üç görüş. Avukatlarımız, çerezlerden elde edilen bilgilerin, kullanıcı hakkındaki diğer bilgilerden ayrı olarak, kendi içinde kişisel veri olmadığına inanmaktadır. Roskomnadzor'un henüz buna dikkat etmediğine dair söylentiler var. Ancak, tamamen sigortalı olmak istiyorsanız, sitenizin geliştiricilerinden şunun gibi bir açılır pencere eklemelerini isteyin: “Çerezlerin işlenmesini kabul ediyorum” (“Tamam” düğmesiyle).

Webvizör kişisel verileri görür. Ne yapalım?

Endişelenme! Yandex tavsiyelerine göre, kişisel veri içerebilecek tüm alanları özel bir sınıfla koruduk. Bu özellik sayesinde web tarayıcısı, kullanıcıların sitedeki formlara yönlendirdiği kişisel verilerini görmeyecektir.

Sözlük

Ve hiçbir sorunuz olmaması için tüm şartları belirlemeye karar verdik.
Kişisel bilgi- doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir bir kişiyle (kişisel verilere konu olan) ilgili her türlü bilgi: kişinin soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, e-posta adresi, telefon numarası, diğer kimlik bilgileri (bkz. Federal Yasa-152, madde 3, 10, 11).

Şu anda kişisel verilerin listesi kapalı değil, verilerin kişisel olup olmadığından şüpheleniyorsanız, açıklama için avukatlarınızla iletişime geçin.

Kişisel verilerin işlenmesi- bu, kişisel verilerin toplanması, kaydedilmesi, sistemleştirilmesi, toplanması, depolanması, aydınlatılması, çıkarılması, kullanılması, aktarılması (dağıtım, erişim sağlanması), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası dahil olmak üzere herhangi bir eylem veya eylemler dizisidir.
Şebeke- bağımsız veya diğer kişilerle birlikte, kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini, eylemleri (işlemleri) belirleyen bir tüzel veya gerçek kişi ) kişisel verilerle gerçekleştirilir.
Kişisel verilerin yayılması- kişisel verilerin belirsiz bir kişi grubuna ifşa edilmesini amaçlayan eylemler.
Kişisel verilerin imhası- kişisel veri bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler.

1. Bu Federal Yasa, federal devlet makamları, Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları, diğer devlet organları (bundan böyle devlet organları olarak anılacaktır), yerel yönetimler, diğer belediye organları tarafından yürütülen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. (bundan böyle belediye organları olarak anılacaktır), bilgi ve telekomünikasyon ağları dahil olmak üzere otomasyon araçlarını kullanan veya bu araçları kullanmayan tüzel kişiler ve bireyler, kişisel verilerin bu araçları kullanmadan işlenmesi eylemlerin (işlemlerin) niteliğine uygunsa otomasyon araçları kullanılarak kişisel verilerle gerçekleştirilir, yani belirli bir algoritmaya göre, somut bir ortama kaydedilen ve dosya dolaplarında veya diğer sistematikleştirilmiş kişisel veri koleksiyonlarında bulunan kişisel verilerin aranmasına ve (veya) erişime izin verir. çok uyku verileri.

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

5) 22 Aralık 2008 tarih ve 262-FZ sayılı Federal Kanun uyarınca Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında yetkili organlar tarafından "Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgiye erişimin sağlanması".

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

2) operatör - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız veya ortaklaşa bir devlet organı, belediye organı, tüzel kişilik veya birey, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler);

3) kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası;

6) kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;

9) kişisel verilerin duyarsızlaştırılması - bunun sonucunda, kişisel verilerin belirli bir kişisel veri konusu tarafından ek bilgi kullanılmadan sahipliğini belirlemenin imkansız hale geldiği eylemler;

10) kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;

11) kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına yabancı bir devletin otoritesine, yabancı bir kişiye veya yabancı bir tüzel kişiye aktarılması.

2. Federal yasalara dayanarak ve bunlara uygun olarak, devlet organları, Rusya Bankası, yerel yönetimler, yetkileri dahilinde, aşağıdakilerle ilgili belirli konularda düzenleyici yasal düzenlemeler, düzenlemeler, yasal düzenlemeler (bundan böyle düzenleyici yasal düzenlemeler olarak anılacaktır) kabul edebilir. kişisel verilerin işlenmesi. Bu tür eylemler, kişisel verilerin konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya federal yasalar tarafından öngörülmeyen operatörlere yükümlülükler getiren ve resmi yayına tabi olan hükümler içeremez.

4. Rusya Federasyonu'nun uluslararası bir antlaşması, bu Federal Yasa tarafından öngörülenlerin dışında kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.

2. Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçlara ulaşılmasıyla sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.

3. Birbiriyle bağdaşmayan amaçlarla işlenmesi gerçekleştirilen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.

6. Kişisel veriler işlenirken, kişisel verilerin doğruluğu, yeterliliği ve gerekirse kişisel verilerin işlenme amaçlarıyla uygunluğu sağlanmalıdır. Operatör, eksik veya yanlış verilerin kaldırılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya alınmasını sağlamalıdır.

N 152-FZ "Kişisel Veriler Üzerine" Kanunu, mahremiyet hakkı, kişisel ve aile sırları da dahil olmak üzere anayasal insan haklarını uygulamak için bireylerin kişisel verilerinin işlenmesi için yasal bir temel oluşturur.

Kanundaki kişisel veriler, bir kişi hakkında soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu, eğitimi, mesleği, geliri ve diğer bilgiler dahil olmak üzere her türlü bilgidir. .

Kişisel verilerin işlenmesine ilişkin esas ve koşullar belirlenir. Kanun, kişisel verilerin öznesinin rızası olmaksızın kişisel verilerin işlenmesine genel bir yasak getirerek, bu tür bir rızanın gerekli olmadığı halleri öngörmektedir. Özel nitelikli kişisel verilerin (ırk, milliyet, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, özel yaşam bilgileri) işlenmesine ilişkin ilişkiler ayrıca düzenlenir. Bu bilgi kategorilerinin işlenmesine, kişisel verilerin kamuya açık olduğu durumlar dışında, kişisel verilerin konusunun önceden rızası olmadan izin verilmez, verilerin işlenmesinin kişinin yaşamını ve sağlığını sağlamak için gerekli olması; işleme, adaletin idaresi ve diğer koşullarla bağlantılı olarak gerçekleştirilir.

Kanunun yürürlüğe girmesinden önce kişisel verileri işleyen işletmecilerin, kişisel veri sahiplerinin haklarının korunması için en geç 1 Ocak 2008 tarihine kadar yetkili kuruluşa bildirimde bulunmaları gerekmektedir.

Kanunun yürürlüğe girdiği tarihten önce oluşturulan kişisel verilerin bilgi sistemlerinin en geç 1 Ocak 2010 tarihinden itibaren gereklerine uygun hale getirilmesi gerekmektedir.

Kanun, resmi olarak yayımlanmasından yüz seksen gün sonra yürürlüğe girer.

RUSYA FEDERASYONU

FEDERAL HUKUK

KİŞİSEL VERİLER HAKKINDA

Devlet Duması

Federasyon Konseyi

(25 Kasım 2009 tarihli ve 266-FZ sayılı Federal Kanunlarla değiştirilen şekliyle,

27.12.2009 tarihli N 363-FZ, 28.06.2010 tarihli N 123-FZ,

27.07.2010 tarihli N 204-FZ, 27.07.2010 tarihli N 227-FZ,

29 Kasım 2010 tarihli N 313-FZ, 23 Aralık 2010 tarihli N 359-FZ,

06/04/2011 tarihli N 123-FZ, 07/25/2011 tarihli N 261-FZ)

Bölüm 1. GENEL HÜKÜMLER

Madde 1. Bu Federal Yasanın Kapsamı

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen Bölüm 1)

2. Bu Federal Yasa, aşağıdakilerden kaynaklanan ilişkiler için geçerli değildir:

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

3) geçersiz hale geldi. - 25 Temmuz 2011 tarihli Federal Kanun N 261-FZ;

4) yerleşik prosedüre göre sınıflandırılan kişisel verilerin devlet sırrı oluşturan bilgi olarak işlenmesi;

(Madde 5, 28 Haziran 2010 tarih ve 123-FZ sayılı Federal Yasa ile getirilmiştir)

Madde 2. Bu Federal Yasanın Amacı

Madde 3. Bu Federal Yasada kullanılan temel kavramlar

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

4) kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi yardımıyla işlenmesi;

5) kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi çemberine ifşa edilmesini amaçlayan eylemler;

6) kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

10) kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;

Madde 4. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen 2. Kısım)

4. Rusya Federasyonu'nun uluslararası bir antlaşması, bu Federal Yasa tarafından öngörülenlerin dışında kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.