Kişisel hakkında N 152 fz. Khanty-Mansiysk Özerk Okrugu - Yugra'nın eğitimi alanında kontrol ve denetim hizmeti. Ve sonra ne

RUSYA FEDERASYONU

FEDERAL HUKUK

KİŞİSEL VERİLER HAKKINDA

(25 Kasım 2009 tarihli ve 266-FZ sayılı Federal Kanunlarla değiştirilen şekliyle,

27 Aralık 2009 tarihli 363-FZ, 28 Haziran 2010 tarihli 123-FZ,

27 Temmuz 2010 tarihli ve 204-FZ sayılı, 27 Temmuz 2010 tarihli 227-FZ sayılı,

29 Kasım 2010 tarihli ve 23 Aralık 2010 tarihli 313-FZ sayılı 359-FZ,

06/04/2011 tarihli 123-FZ, 07/25/2011 tarihli 261-FZ sayılı,

05.04.2013 tarih ve 43-FZ, 07.23.2013 tarih No. 205-FZ)

Bölüm 1. GENEL HÜKÜMLER

Madde 1. Bu Federal Yasanın Kapsamı

1. Bu Federal Yasa, federal hükümet organları, devlet kurumları tarafından yürütülen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. Rusya Federasyonu, diğer devlet organları (bundan sonra devlet organları olarak anılacaktır), kurumlar yerel hükümet, diğerleri Belediye yetkilileri(bundan böyle belediye organları olarak anılacaktır), tüzel kişiler ve bireyler bilgi ve telekomünikasyon ağları dahil olmak üzere otomasyon araçlarının kullanılmasıyla veya bu tür araçların kullanılmamasıyla, kişisel verilerin bu tür araçların kullanılmadan işlenmesi, otomasyon kullanılarak kişisel verilerle gerçekleştirilen eylemlerin (işlemlerin) niteliğine uygunsa araçlar, yani belirli bir algoritmaya göre yürütülmesine, somut bir ortama kaydedilen ve dosya dolaplarında veya diğer sistematikleştirilmiş kişisel veri koleksiyonlarında bulunan kişisel verilerin aranmasına ve (veya) bu tür kişisel verilere erişime izin verir.

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen Bölüm 1)

2. Bu Federal Yasa, aşağıdakilerden kaynaklanan ilişkiler için geçerli değildir:

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

2) Rusya Federasyonu Arşiv Fonu'nun kişisel verilerini içeren belgelerin ve Rusya Federasyonu'ndaki arşivleme mevzuatına uygun olarak diğer arşiv belgelerinin depolanması, elde edilmesi, muhasebeleştirilmesi ve kullanılması;

3) geçersiz hale geldi. - 25 Temmuz 2011 tarihli 261-FZ sayılı Federal Yasa;

4) yerleşik prosedüre göre sınıflandırılan kişisel verilerin devlet sırrı oluşturan bilgi olarak işlenmesi;

5) 22 Aralık 2008 tarih ve 262-FZ sayılı Federal Kanun uyarınca Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında yetkili organlar tarafından "Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgiye erişimin sağlanması".

(Madde 5, 28 Haziran 2010 tarih ve 123-FZ sayılı Federal Yasa ile getirilmiştir)

Madde 2. Bu Federal Yasanın Amacı

Bu Federal Yasanın amacı, dokunulmazlık haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamaktır. mahremiyet, kişisel ve aile sırları.

Madde 3. Bu Federal Yasada kullanılan temel kavramlar

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

2) operatör - bir devlet organı, belediye organı, tüzel veya gerçek kişi, bağımsız veya kişisel verilerin işlenmesini organize eden ve (veya) yürüten diğer kişilerle birlikte ve ayrıca kişisel verilerin işlenme amaçlarını, kişisel verilerin bileşimini belirleyen işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler);

3) kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası;

4) kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi yardımıyla işlenmesi;

5) kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi çemberine ifşa edilmesini amaçlayan eylemler;

6) kişisel verilerin sağlanması - kişisel verilerin ifşa edilmesini amaçlayan eylemler belirli kişi veya belirli bir grup insan;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;

9) kişisel verilerin duyarsızlaştırılması - kullanılmadan imkansız hale gelen eylemler Ek Bilgiler belirli bir kişisel veri konusu tarafından kişisel verilerin sahipliğini belirlemek;

10) kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;

11) kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına yabancı bir devletin otoritesine, yabancı bir kişiye veya yabancı bir tüzel kişiye aktarılması.

Madde 4. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

1. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı, Rusya Federasyonu Anayasası'na ve Rusya Federasyonu'nun uluslararası anlaşmalarına dayanmaktadır ve bu Federal Yasa ile verilerin işlenmesinin durumlarını ve özelliklerini belirleyen diğer federal yasalardan oluşmaktadır. kişisel veri.

2. Federal yasalar temelinde ve uyarınca, devlet organları, Rusya Bankası, yerel yönetim organları, yetkileri dahilinde düzenleyici yasal düzenlemeler kabul edebilir, düzenlemeler, kişisel verilerin işlenmesiyle ilgili belirli konularda yasal işlemler (bundan böyle düzenleyici yasal işlemler olarak anılacaktır). Bu tür eylemler, kişisel verilerin konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya operatörlere federal yasalar tarafından öngörülmeyen yükümlülükler getiren hükümler içeremez ve tabidir. resmi yayın.

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen 2. Kısım)

3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri federal yasalar ve diğer düzenleyici düzenlemelerle belirlenebilir. yasal işlemler Rusya Federasyonu, bu Federal Yasanın hükümlerine tabidir.

4. Rusya Federasyonu'nun bir uluslararası antlaşması, bu Federal Yasa tarafından öngörülenlerin dışında kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

4) kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi yardımıyla işlenmesi;

5) kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi çemberine ifşa edilmesini amaçlayan eylemler;

6) kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

9) kişisel verilerin duyarsızlaştırılması - bunun sonucunda, kişisel verilerin belirli bir kişisel veri konusu tarafından ek bilgi kullanılmadan sahipliğini belirlemenin imkansız hale geldiği eylemler;

10) kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;

Madde 4. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

2. Federal yasalara dayanarak ve bunlara uygun olarak, devlet organları, Rusya Bankası, yerel yönetimler, yetkileri dahilinde, aşağıdakilerle ilgili belirli konularda düzenleyici yasal düzenlemeler, düzenlemeler, yasal düzenlemeler (bundan böyle düzenleyici yasal düzenlemeler olarak anılacaktır) kabul edebilir. kişisel verilerin işlenmesi. Bu tür eylemler, kişisel veri konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya federal yasalar tarafından öngörülmeyen operatörlere yükümlülükler getiren ve resmi yayına tabi olan hükümler içeremez. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri, bu Federal Yasanın hükümlerine tabi olarak, federal yasalar ve Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemeleri tarafından belirlenebilir.

4. Rusya Federasyonu'nun bir uluslararası antlaşması, bu Federal Yasa tarafından öngörülenlerin dışında kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.

Bölüm 2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESAS VE ŞARTLAR

Madde 5. Kişisel verilerin işlenmesine ilişkin esaslar (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verilerin işlenmesi yasal ve adil bir temelde gerçekleştirilmelidir.

2. Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçlara ulaşılmasıyla sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.

3. Birbiriyle bağdaşmayan amaçlarla işlenmesi gerçekleştirilen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.

4. Yalnızca işlenme amaçlarını karşılayan kişisel veriler işlemeye tabidir.

5. İşlenen kişisel verilerin içeriği ve kapsamı, belirtilen işleme amaçlarına uygun olmalıdır. İşlenen kişisel veriler, işlenme amaçlarına ilişkin olarak aşırı olmamalıdır.

6. Kişisel verileri işlerken, kişisel verilerin doğruluğu, yeterliliği ve gerekli durumlar ve kişisel veri işleme amaçlarıyla alaka düzeyi. Operatör, eksik veya yanlış verilerin kaldırılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya alınmasını sağlamalıdır.

7. Kişisel verilerin depolanması, kişisel verilerin işlenme amaçlarının gerektirdiğinden daha uzun olmayacak şekilde, kişisel verilerin konusunun belirlenmesine izin veren bir biçimde yapılmalıdır, eğer kişisel verilerin saklanma süresi federal yasa tarafından belirlenmemişse, bir anlaşma kişisel verilerin konusunun taraf, lehdar veya garantör olduğu veriler. İşlenen kişisel veriler, federal yasa tarafından aksi belirtilmedikçe, işleme hedeflerine ulaşıldığında veya bu hedeflere ulaşma ihtiyacının kaybolması durumunda imha veya duyarsızlaştırmaya tabidir.

Madde 6. Kişisel verilerin işlenmesine ilişkin koşullar (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verilerin işlenmesi, bu Federal Yasanın öngördüğü ilke ve kurallara uygun olarak gerçekleştirilmelidir. Kişisel verilerin işlenmesine aşağıdaki durumlarda izin verilir:

1) kişisel verilerin işlenmesi, kişisel verilerin konusunun kişisel verilerinin işlenmesine rızası ile gerçekleştirilir;

2) Rusya Federasyonu'nun uluslararası bir antlaşması veya yasa ile öngörülen amaçlara ulaşmak, Rusya Federasyonu mevzuatı ile işletmeciye verilen işlevleri, yetkileri ve görevleri yerine getirmek ve yerine getirmek için kişisel verilerin işlenmesi gereklidir;

3) kişisel verilerin işlenmesi, bir kişinin anayasal, medeni, idari, cezai işlemlere katılımı ile bağlantılı olarak gerçekleştirilir. tahkim mahkemeleri; (29 Temmuz 2017 tarih ve 223-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

3.1) Kişisel verilerin işlenmesinin ifa için gerekli olması adli işlem Rusya Federasyonu mevzuatına göre icraya tabi başka bir organın veya resmi görevlinin eylemi icra takibi(bundan böyle adli bir işlemin icrası olarak anılacaktır); (29 Temmuz 2017 tarih ve 223-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

4) kişisel verilerin işlenmesi, federal yürütme organlarının, devlet bütçe dışı fon organlarının, Rusya Federasyonu'nun kurucu kuruluşlarının devlet iktidarının yürütme organlarının, yerel yönetimlerin ve katılan kuruluşların işlevlerinin kullanılması için gereklidir. kamunun sağlanmasında ve Belediye hizmetleri 27 Temmuz 2010 tarihli Federal Yasa ile öngörülen N 210-FZ "Devlet ve belediye hizmetlerinin sağlanmasının organizasyonu hakkında", kişisel verilerin konusunun tek bir devlet ve belediye hizmetleri portalına kaydedilmesi dahil ve (veya ) bölgesel portallar devlet ve belediye hizmetleri; (5 Nisan 2013 tarih ve 43-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

5) kişisel verilerin işlenmesinin, kişisel verilerin konusunun taraf veya lehtar veya garantör olduğu bir sözleşmenin yerine getirilmesi ve ayrıca kişisel verilerin konusunun inisiyatifiyle bir anlaşma veya bir sözleşme akdedilmesi için gerekli olması kişisel verilerin konusunun yararlanıcı veya garantör olacağı; (21 Aralık 2013 tarihli N 363-FZ, 3 Temmuz 2016 N 231-FZ tarihli Federal Kanunlarla değiştirildiği şekliyle)

6) kişisel verilerin konusunun rızasının alınması imkansız ise, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesi gereklidir;

7) kişisel verilerin işlenmesi, "Bireylerin haklarının ve meşru menfaatlerinin uygulanmasında bireylerin haklarının ve meşru menfaatlerinin korunması hakkında" Federal Kanun tarafından öngörülen durumlar da dahil olmak üzere, operatörün veya üçüncü tarafların haklarının ve meşru menfaatlerinin kullanılması için gereklidir. gecikmiş borçları iade etme faaliyetleri ve "mikrofinans faaliyetleri ve mikrofinans kuruluşları hakkında" Federal Kanunda yapılan değişiklikler veya kişisel verilerin konusunun hak ve özgürlüklerinin ihlal edilmemesi koşuluyla sosyal açıdan önemli hedeflere ulaşmak; (3 Temmuz 2016 tarih ve 231-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

8) Kişisel verilerin işlenmesinin uygulanması için gerekli olması profesyonel aktivite gazeteci ve (veya) kitle iletişim araçlarının yasal faaliyetleri veya bilimsel, edebi veya diğer yaratıcı aktivite hakları ihlal etmemesi ve meşru menfaatler kişisel verilerin konusu;

9) kişisel verilerin işlenmesi, bu Federal Kanunda belirtilen amaçlar dışında, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer araştırma amaçları için gerçekleştirilir;

10) kişisel verilerin işlenmesi, kişisel verilerin konusu tarafından veya talebi üzerine sağlanan sınırsız sayıda kişinin erişimi (bundan sonra kişisel verilerin konusu tarafından kamuya açıklanmış kişisel veriler olarak anılacaktır);

11) federal yasaya uygun olarak yayına veya zorunlu açıklamaya tabi kişisel verilerin işlenmesi gerçekleştirilir.

1.1. Nesnelerin kişisel verilerinin işlenmesi devlet koruması ve ailelerinin üyeleri, 27 Mayıs 1996 tarihli N 57-FZ "Devlet Korumasına İlişkin" Federal Yasa ile sağlanan özellikler dikkate alınarak gerçekleştirilir. (1 Temmuz 2017 tarih ve 148-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

3. Operatör, federal yasa tarafından aksi belirtilmedikçe, bu kişiyle yapılan bir anlaşma temelinde, kişisel verilerin konusunun rızasıyla kişisel verilerin işlenmesini başka bir kişiye emanet etme hakkına sahiptir. belediye sözleşmesi veya bir devlet veya belediye organı tarafından ilgili bir kanunu kabul ederek (bundan sonra operatörün talimatı olarak anılacaktır). Operatör adına kişisel verileri işleyen bir kişi, bu Federal Yasa ile öngörülen kişisel verilerin işlenmesine ilişkin ilke ve kurallara uymakla yükümlüdür. Operatörün talimatı, kişisel verileri işleyen kişi tarafından gerçekleştirilecek kişisel verilerle (işlemlerin) bir listesini ve işleme amaçlarını, böyle bir kişinin kişisel verilerin gizliliğini koruma ve kişisel güvenliğini sağlama yükümlülüğünü tanımlamalıdır. işlenmesi sırasındaki veriler ve işlenen kişisel verilerin bu Federal Yasa uyarınca korunmasına ilişkin gereklilikler belirtilmelidir.

4. Operatör adına kişisel verileri işleyen kişinin, kişisel verilerinin işlenmesi için kişisel verilerin konusunun onayını alması gerekli değildir.

5. İşletmeci, kişisel verilerin işlenmesini başka bir kişiye emanet ederse, işletmeci, söz konusu kişinin eylemlerinden kişisel verilerin konusuna karşı sorumlu olacaktır. İşletmeci adına kişisel verileri işleyen kişi işletmeciye karşı sorumludur.

Madde 7. Kişisel verilerin gizliliği (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Operatörler ve kişisel verilere erişim sağlayan diğer kişiler, federal yasa tarafından aksi belirtilmedikçe, kişisel verilerin konusunun rızası olmadan üçüncü taraflara ifşa etmemek ve kişisel verileri dağıtmamakla yükümlüdür.

Madde 8. Kamuya açık kişisel veri kaynakları

1. Sırayla bilgi desteği halka açık kişisel veri kaynakları (dizinler, adres defterleri dahil) oluşturulabilir. ile kamuya açık kişisel veri kaynaklarına Yazılı onay kişisel verilerin konusu, soyadı, adı, soyadı, doğum yılı ve yeri, adresi, abone numarası, mesleği hakkında bilgiler ve kişisel verilerin konusu tarafından bildirilen diğer kişisel verileri içerebilir. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2. Kişisel verilerin konusuna ilişkin bilgiler, kişisel verilerin konusunun talebi üzerine veya mahkeme veya diğer yetkili kişilerin kararı ile herhangi bir zamanda kamuya açık kişisel veri kaynaklarından hariç tutulmalıdır. Devlet kurumları. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Madde 9. Kişisel verilerin öznesinin kişisel verilerinin işlenmesine ilişkin rızası (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verilerin konusu, kişisel verilerini sağlamaya karar verir ve bunların serbestçe, kendi iradesiyle ve kendi menfaati doğrultusunda işlenmesini kabul eder. Kişisel verilerin işlenmesine yönelik rıza belirli, bilgilendirilmiş ve bilinçli olmalıdır. Kişisel verilerin işlenmesine izin, federal yasa tarafından aksi belirtilmedikçe, kişisel verilerin konusu veya temsilcisi tarafından alındığının doğrulanmasına izin veren herhangi bir biçimde verilebilir. Kişisel verilerin konusunun bir temsilcisinden kişisel verilerin işlenmesi için onay alınması durumunda, bu temsilcinin kişisel verilerin konusu adına onay verme yetkisi işletmeci tarafından kontrol edilir.

2. Kişisel verilerin işlenmesine ilişkin rıza, kişisel verilerin sahibi tarafından geri alınabilir. Kişisel verilerin konusu, kişisel verilerin işlenmesine ilişkin onayını geri çekerse, 6. maddenin 1. bölümü, 10. maddenin bentlerinde belirtilen gerekçeler varsa, operatör kişisel verilerin konusunun rızası olmadan kişisel verileri işlemeye devam etme hakkına sahiptir. ve bu Federal Yasanın 11. Maddesi.

3. Kişisel verilerin konusunun kişisel verilerinin işlenmesi için rızasının alındığına dair kanıt veya bu Federal Maddenin 6. maddesinin 1. paragrafı, 10. maddesi ve 11. maddesinde belirtilen gerekçelerin varlığının kanıtını sağlama yükümlülüğü Kanun operatöre aittir.

4. Federal yasaların öngördüğü durumlarda, kişisel verilerin işlenmesi yalnızca ilgili kişinin rızası ile gerçekleştirilir. yazı kişisel verilerin konusu. üzerinde kişisel verilerin konusunun el yazısı imzasını içeren yazılı rızaya eşdeğerdir. basılı kopya rıza formda tanınır elektronik belge federal yasalara uygun olarak imzalanmış Elektronik İmza. Kişisel verilerin öznesinin kişisel verilerinin işlenmesine ilişkin yazılı onayı, özellikle şunları içermelidir:

1) soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;

2) kişisel verilerin konusunun temsilcisinin soyadı, adı, soyadı, adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu düzenleyen makam hakkında bilgi, ayrıntıları vekaletname veya bu temsilcinin yetkisini teyit eden diğer belgeler (konu kişisel verilerinin temsilcisinden onay alınması üzerine);

3) kişisel verilerin konusunun onayını alan operatörün adı veya soyadı, adı, soyadı ve adresi;

4) kişisel verilerin işlenme amacı;

5) işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;

6) işleme böyle bir kişiye emanet edilmişse, işletmeci adına kişisel verilerin işlenmesini gerçekleştiren kişinin adı veya soyadı, adı, soyadı ve adresi;

7) rıza verilen kişisel veriler içeren eylemlerin bir listesi, Genel açıklama operatör tarafından kişisel verilerin işlenmesi için kullanılan yöntemler;

8) federal yasa tarafından aksi belirtilmedikçe, kişisel verilerin konusunun rızasının geçerli olduğu süre ve geri çekilme yöntemi;

9) kişisel veri sahibinin imzası.

5. Kişisel verilerin konusunun, devlet ve belediye hizmetlerinin yanı sıra sağlanması için gerekli ve zorunlu olan hizmetlerin sağlanması amacıyla kişisel verilerinin işlenmesine elektronik belge şeklinde onay alma prosedürü Devlet ve belediye hizmetleri, Rusya Federasyonu Hükümeti tarafından kurulur.

6. Kişisel verilerin öznesinin ehliyetsiz olması durumunda, kişisel verilerinin işlenmesine izin verilir. yasal temsilci kişisel verilerin konusu.

7. Kişisel verilerin öznesinin ölümü halinde, kişisel verilerin öznesi yaşamı boyunca böyle bir onay vermemişse, kişisel verilerin öznesinin mirasçıları tarafından kişisel verilerinin işlenmesine izin verilir. .

8. Kişisel veriler, işletmeciye 6. Maddenin 1. Kısmı, 10. Madde ve Maddelerinde belirtilen gerekçelerin varlığının teyit edilmesi şartıyla, kişisel verilerin konusu olmayan bir kişiden elde edilebilir. Bu Federal Yasanın 11.

Madde 10. Özel kişisel veri kategorileri

1. Irk, uyruk, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, özel yaşamla ilgili özel kategorilerdeki kişisel verilerin işlenmesine, bu maddenin 2. paragrafında belirtilen durumlar dışında izin verilmez.

2. Bu maddenin 1. paragrafında belirtilen özel nitelikli kişisel verilerin işlenmesine aşağıdaki durumlarda izin verilir:

1) kişisel verilerin konusu, kişisel verilerinin işlenmesine yazılı olarak onay vermişse;

2) kişisel verilerin, kişisel verilerin konusu tarafından alenileştirilmiş olması; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2.1) Rusya Federasyonu'nun geri kabule ilişkin uluslararası anlaşmalarının uygulanmasıyla bağlantılı olarak kişisel verilerin işlenmesi gereklidir; (25 Kasım 2009 tarih ve 266-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2.2) kişisel verilerin işlenmesi, 25 Ocak 2002 tarihli N 8-FZ "Tüm Rusya Nüfus Sayımı Üzerine" Federal Yasasına uygun olarak gerçekleştirilir; (27 Temmuz 2010 tarih ve 204-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2.3) Kişisel verilerin işlenmesinin devlet sosyal yardımlarına ilişkin mevzuata uygun olarak gerçekleştirilmesi, İş hukuku, Rusya Federasyonu'nun emeklilik mevzuatı; (21 Temmuz 2014 tarihli N 261-FZ, 25 Temmuz 2011 tarihli N 216-FZ tarihli Federal Kanunlarla değiştirildiği şekliyle)

3) kişisel verilerin öznesinin hayatı, sağlığı veya diğer hayati menfaatlerinin veya diğer kişilerin hayatı, sağlığı veya diğer hayati menfaatlerinin korunması için kişisel verilerin işlenmesinin gerekli olması ve kişisel verilerin konusunun rızasının alınmasının imkansız olması; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

4) Kişisel verilerin tıbbi ve önleyici amaçlarla işlenmesi, tıbbi teşhis, kişisel verilerin işlenmesinin profesyonel olarak faaliyet gösteren bir kişi tarafından gerçekleştirilmesi şartıyla tıbbi ve mediko-sosyal hizmetlerin sağlanması tıbbi faaliyetler ve tıbbi gizliliği korumak için Rusya Federasyonu mevzuatına göre yükümlü;

5) bir kamu derneği veya dini kuruluş üyelerinin (katılımcılarının) kişisel verilerinin işlenmesi, ilgili kuruluş tarafından gerçekleştirilir. halk derneği veya dini organizasyon, Rusya Federasyonu mevzuatına uygun olarak hareket ederek, onların öngördüğü meşru hedeflere ulaşmak için kuruluş belgeleri, kişisel veri sahiplerinin yazılı rızası olmaksızın kişisel verilerin paylaşılmaması kaydıyla;

6) kişisel verilerin işlenmesinin, kişisel verilerin konusunun veya üçüncü kişilerin haklarının tesisi veya kullanılması için ve ayrıca adaletin tecellisiyle bağlantılı olarak gerekli olması; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

7) kişisel verilerin işlenmesi, Rusya Federasyonu'nun savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, operasyonel arama faaliyetleri, icra takibatları, Rusya Federasyonu'nun cezai yürütme mevzuatı hakkında; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

7.1) Rusya Federasyonu mevzuatı ile belirlenen durumlarda alınan kişisel verilerin işlenmesi, savcılık tarafından uygulanması ile ilgili olarak gerçekleştirilir. savcı denetimi; (23 Temmuz 2013 tarih ve 205-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

8) Kişisel verilerin işlenmesinin sigortacılık mevzuatı ile zorunlu sigorta türleri hakkında mevzuata uygun olarak gerçekleştirilmesi; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

9) kişisel verilerin işlenmesi, ebeveyn bakımı olmadan bırakılan çocukları vatandaşların ailelerine yerleştirmek için Rusya Federasyonu mevzuatı, devlet organları, belediye organları veya kuruluşları tarafından öngörülen durumlarda gerçekleştirilir; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

10) kişisel verilerin işlenmesi, Rusya Federasyonu'nun Rusya Federasyonu vatandaşlığına ilişkin mevzuatına uygun olarak gerçekleştirilir. (4 Haziran 2014 tarih ve 142-FZ sayılı Federal Yasa ile değiştirilen şekliyle)

3. Adli sicil kaydındaki kişisel verilerin işlenmesi, Rusya Federasyonu mevzuatına göre kendilerine verilen yetkiler dahilinde devlet organları veya belediye organları tarafından ve ayrıca belirlenen durumlarda ve şekilde diğer kişiler tarafından gerçekleştirilebilir. federal yasalara uygun olarak.

4. Bu maddenin 2. ve 3. bölümlerinde belirtilen durumlarda gerçekleştirilen özel kategorilerdeki kişisel verilerin işlenmesi, federal yasa tarafından aksi belirtilmedikçe, işlemenin gerçekleştirilme nedenleri ortadan kaldırılırsa derhal sonlandırılmalıdır. . (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Madde 11. Biyometrik kişisel veriler (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Fizyolojik ve biyolojik özellikler Kimliği esas alınarak belirlenebilen (biyometrik kişisel veriler) ve işletmeci tarafından kişisel verilerin konusunu belirlemek için kullanılan kişi, aşağıdakiler dışında, yalnızca kişisel verilerin konusunun yazılı rızası ile işlenebilir. bu maddenin 2. paragrafında belirtilen durumlar.

2. Biyometrik kişisel verilerin işlenmesi, Rusya Federasyonu'nun geri kabule ilişkin uluslararası anlaşmalarının uygulanması ile bağlantılı olarak, adaletin idaresi ve adli işlemlerin yürütülmesi ile bağlantılı olarak kişisel verilerin konusunun rızası olmadan gerçekleştirilebilir, Rusya Federasyonu'nun savunma, güvenlik, terörle mücadele, ulaşım güvenliği, yolsuzlukla mücadele, operasyonel-soruşturma faaliyetleri, kamu hizmeti, Rusya Federasyonu ceza mevzuatı, mevzuat ile öngörülen durumlarda Rusya Federasyonu'nun Rusya Federasyonu'ndan ayrılma ve Rusya Federasyonu'na girme prosedürü hakkında, Rusya Federasyonu vatandaşlığı hakkında. (4 Haziran 2014 tarih ve 142-FZ sayılı Federal Yasa ile değiştirilen şekliyle)

Madde 12. Kişisel verilerin sınır ötesi aktarımı (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Bölgedeki kişisel verilerin sınır ötesi aktarımı yabancı devletler Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesinin tarafları ile kişisel veri sahiplerinin haklarının yeterli düzeyde korunmasını sağlayan diğer yabancı devletler, bu Federal Kanuna uygun olarak yürütülür ve temelleri korumak için yasaklanmalı veya sınırlandırılmalıdır. anayasal düzen Rusya Federasyonu, vatandaşlarının ahlak, sağlık, hak ve meşru menfaatlerini, ülkenin savunmasını ve devletin güvenliğini sağlar.

2. Kişisel verilerin öznelerinin haklarının korunmasına ilişkin yetkili organ, Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesine taraf olmayan yabancı devletlerin listesini onaylar ve kişisel verilerin yeterli düzeyde korunmasını sağlar. kişisel verilerin konularının hakları. Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesine taraf olmayan bir devlet, kişisel veri sahiplerinin haklarının yeterli düzeyde korunmasını sağlayan yabancı devletler listesine dahil edilebilir. Bu Sözleşme hükümleri, ilgili devlette yürürlükte olan hukuk kurallarına ve kişisel verilerin uygulanan güvenlik önlemlerine uygundur.

3. Operatör, kişisel verilerin sınır ötesi aktarımı başlamadan önce, topraklarına kişisel verilerin aktarımının gerçekleştirildiği yabancı devletin, kişisel verilerin konularının haklarının yeterli şekilde korunmasını sağladığından emin olmakla yükümlüdür. .

4. Kişisel verilerin konularının haklarının yeterli şekilde korunmasını sağlamayan yabancı devletlerin topraklarında kişisel verilerin sınır ötesi aktarımı aşağıdaki durumlarda gerçekleştirilebilir:

1) kişisel verilerin konusunun, kişisel verilerinin sınır ötesi aktarımına yazılı olarak rızası;

2) sağlanan Uluslararası anlaşmalar Rusya Federasyonu;

3) Rusya Federasyonu'nun anayasal düzeninin temellerini korumak, ülkenin savunmasını ve devletin güvenliğini sağlamak ve ayrıca sürdürülebilir ve güvenli işleyişin güvenliğini sağlamak için gerekirse federal yasalarla öngörülen ulaşım kompleksinin, ulaşım kompleksi alanındaki bireyin, toplumun ve devletin çıkarlarını eylemlerden korumak yasadışı müdahale;

4) kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesi;

5) kişisel verilerin konusunun veya diğer kişilerin yaşamının, sağlığının, diğer hayati menfaatlerinin korunması, kişisel verilerin konusundan yazılı olarak onay alınmasının imkansız olması durumunda.

Madde 13. Kişisel verilerin eyalet veya belediye bilgi sistemlerinde kişisel verilerin işlenmesinin özellikleri

1. Devlet organları, belediye organları, federal yasalara uygun olarak kurulan yetkileri dahilinde, kişisel verilerin eyalet veya belediye bilgi sistemlerini oluşturur.

2. Federal yasalar, eyalette ve belediyede kişisel verilerin muhasebeleştirilmesinin özelliklerini belirleyebilir. bilgi sistemi kullanımı da dahil olmak üzere kişisel veriler çeşitli yollar ilgili eyalette veya belediye kişisel veri bilgi sisteminde yer alan kişisel verilerin belirli bir kişisel veri konusuna ait olduğunun belirlenmesi.

3. Bir kişinin ve bir vatandaşın hak ve özgürlükleri, kişisel verilerin işlenmesi için çeşitli yöntemlerin kullanılmasıyla veya kişisel verilerin devlet veya belediye bilgi sistemlerinde bulunan kişisel verilerin sahipliğini belirli bir konuya atamakla ilgili nedenlerle sınırlandırılamaz. kişisel veriler. Devletin veya belediyenin kişisel veri bilgi sistemlerinde bulunan kişisel verilerin belirli bir kişisel veri konusuna ait olduğunu belirtmek için vatandaşların duygularını rencide eden veya insan onurunu bozan yöntemlerin kullanılmasına izin verilmez.

4. Kişisel verilerin konularının kişisel verilerinin devlet veya belediye bilgi sistemlerinde kişisel verilerin işlenmesiyle bağlantılı olarak haklarının kullanılmasını sağlamak için, bir nüfus devlet kaydı oluşturulabilir, hukuki durum hangisi ve federal yasa tarafından belirlenen çalışma prosedürü.

Bölüm 3. KİŞİSEL VERİLERİN KONUSU HAKLARI

Madde 14. Kişisel verilerin öznesinin kişisel verilerine erişim hakkı (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verilerin konusu, bu maddenin 8. bölümünde belirtilen durumlar dışında, bu maddenin 7. bölümünde belirtilen bilgileri alma hakkına sahiptir. Kişisel verilerin konusu, kişisel verilerin eksik, güncelliğini yitirmiş, yanlış, yasa dışı olarak elde edilmiş veya belirtilen işleme amacı için gerekli olmadığı durumlarda işletmeciden kişisel verilerinin açıklığa kavuşturulmasını, engellenmesini veya yok edilmesini talep etme ve ayrıca kabul etme hakkına sahiptir. yasal haklarını korumaya yönelik tedbirlerdir.

2. Bu maddenin 7. paragrafında belirtilen bilgiler, işletmeci tarafından kişisel veri konusuna erişilebilir bir biçimde sunulmalı ve açıklanması için yasal bir neden olmadıkça, diğer kişisel veri konularına ilişkin kişisel verileri içermemelidir. bu tür kişisel veriler. veriler.

3. Bu maddenin 7. paragrafında belirtilen bilgiler, işletmeci tarafından kişisel verilerin konusuna veya temsilcisine başvururken veya kişisel veri sahibi veya temsilcisinden bir talep geldiğinde sağlanır. Talep, kişisel verilerin konusunun veya temsilcisinin kimliğini kanıtlayan ana belgenin numarasını, belirtilen belgenin düzenlenme tarihi ve onu düzenleyen makam hakkında bilgi, kişisel verilerin konusunun katılımını doğrulayan bilgileri içermelidir. operatörle ilişkilerde (sözleşme numarası, sözleşmenin imzalanma tarihi, şartlı sözlü atama ve (veya) diğer bilgiler) veya operatör tarafından kişisel verilerin işlenmesi gerçeğini doğrulayan bilgiler, kişisel veri sahibinin imzası veya onun imzası temsilci. Talep, elektronik belge şeklinde gönderilebilir ve Rusya Federasyonu mevzuatına uygun olarak elektronik imza ile imzalanabilir.

4. Bu maddenin 7. paragrafında belirtilen bilgiler ile işlenen kişisel veriler, kişisel veri konusunun talebi üzerine inceleme için sağlanmışsa, kişisel veri konusu işletmeciye tekrar başvurma hakkına sahiptir. veya bu maddenin 7. bölümünde belirtilen bilgileri elde etmek için ikinci bir talepte bulunun ve bu tür kişisel verileri, federal yasa tarafından daha kısa bir süre öngörülmedikçe, ilk başvurudan veya ilk talepten sonraki otuz gün içinde en geç olmamak üzere, buna uygun olarak kabul edilen düzenleyici bir yasal işlem veya kişisel verilerin konusu olan bir taraf veya lehdar veya garantör olan bir anlaşma.

5. Kişisel verilerin konusu, bu maddenin 7. bölümünde belirtilen bilgileri elde etmek ve ayrıca işlenen kişisel verileri tanımak için operatöre tekrar başvurma veya ikinci bir talep gönderme hakkına sahiptir. Bu maddenin 4. bölümünde belirtilen sürenin sona ermesinden önce, bu tür bilgilerin ve (veya) işlenmiş kişisel verilerin, ilk talebin değerlendirilmesinin sonuçlarına dayanarak tam olarak gözden geçirilmesi için kendisine verilmemesi durumunda. Bu maddenin 3. paragrafında belirtilen bilgilerle birlikte mükerrer bir talep, mükerrer bir talebin gönderilmesinin gerekçesini içermelidir.

6. Operatör, bu maddenin 4. ve 5. bölümlerinde belirtilen koşulları karşılamayan tekrarlanan bir talebi yerine getirmek için kişisel verilerin konusunu reddetme hakkına sahiptir. Böyle bir reddetme motive edilmelidir. Tekrarlanan talebi yerine getirmeyi reddetmenin geçerliliğine dair kanıt sağlama yükümlülüğü işletmeciye aittir.

7. Kişisel verilerin konusu, aşağıdakileri içeren bilgiler de dahil olmak üzere, kişisel verilerinin işlenmesiyle ilgili bilgi alma hakkına sahiptir:

1) operatör tarafından kişisel verilerin işlendiği gerçeğinin teyidi;

2) kişisel verilerin işlenmesinin yasal dayanakları ve amaçları;

3) operatör tarafından kişisel verilerin işlenmesi için kullanılan amaçlar ve yöntemler;

4) operatörün adı ve yeri, kişisel verilere erişimi olan veya operatörle yapılan bir anlaşma veya federal yasa temelinde kişisel verilerin ifşa edilebileceği kişiler (operatörün çalışanları hariç) hakkında bilgiler ;

5) federal yasa tarafından bu tür verilerin sunulması için farklı bir prosedür öngörülmediği sürece, kişisel verilerin ilgili konusuna ilişkin işlenmiş kişisel veriler, alınmalarının kaynağı;

6) saklama koşulları da dahil olmak üzere kişisel veri işleme koşulları;

7) bu Federal Yasa tarafından sağlanan hakların kişisel verilerinin öznesi tarafından kullanılması prosedürü;

8) gerçekleştirilen veya önerilen sınır ötesi veri aktarımı hakkında bilgi;

9) işleme böyle bir kişiye emanet edilmişse veya verilecekse, işletmeci adına kişisel verilerin işlenmesini gerçekleştiren kişinin adı veya soyadı, adı, soyadı ve adresi;

10) bu Federal Yasa veya diğer federal yasalar tarafından sağlanan diğer bilgiler.

8. Kişisel verilerin öznesinin kişisel verilerine erişim hakkı, aşağıdakiler de dahil olmak üzere federal yasalara uygun olarak sınırlandırılabilir:

1) operasyonel arama, karşı istihbarat ve istihbarat faaliyetleri sonucunda elde edilen kişisel veriler de dahil olmak üzere kişisel verilerin işlenmesinin ulusal savunma, devlet güvenliği ve kolluk kuvvetleri amaçlarıyla gerçekleştirilmesi;

2) kişisel verilerin işlenmesi, kişisel verilerin konusunu bir suç işleme şüphesiyle gözaltına alan veya bir ceza davasında kişisel verilerin konusunu suçlayan veya kişisel verilerin konusuna bir kısıtlama tedbiri uygulayan kuruluşlar tarafından gerçekleştirilir. Rusya Federasyonu ceza muhakemesi mevzuatında öngörülenler hariç olmak üzere, şüpheli veya sanığı bu tür kişisel verilerle tanıştırmasına izin verilen davalar hariç, suçlamada bulunmadan önce;

3) kişisel verilerin işlenmesi, elde edilen gelirlerin yasallaştırılması (aklama) ile mücadele mevzuatına uygun olarak gerçekleştirilir. cezai yollarla, ve terörün finansmanı;

4) kişisel verilerin öznesinin kişisel verilerine erişiminin üçüncü kişilerin haklarını ve meşru menfaatlerini ihlal etmesi;

5) kişisel verilerin işlenmesi, ulaşım kompleksinin istikrarlı ve güvenli işleyişini sağlamak, bireyin, toplumun ve devletin çıkarlarını korumak için Rusya Federasyonu'nun ulaşım güvenliği mevzuatının öngördüğü durumlarda gerçekleştirilir. yasadışı müdahale eylemlerinden ulaşım kompleksi alanında.

Madde 15

1. Kişisel verilerin, iletişim araçlarını kullanarak potansiyel bir tüketici ile doğrudan temas kurarak ve ayrıca siyasi kampanya amaçlarıyla piyasada malları, işleri, hizmetleri tanıtmak amacıyla işlenmesine yalnızca önceden izin alınması koşuluyla izin verilir. kişisel verilerin konusu. Operatör böyle bir onayın alındığını kanıtlamadıkça, kişisel verilerin belirtilen işlenmesi, kişisel verilerin öznesinin önceden onayı olmadan gerçekleştirildiği kabul edilir.

2. Operatör, kişisel verilerin konusunun talebi üzerine, bu maddenin 1. bölümünde belirtilen kişisel verilerinin işlenmesini derhal durdurmakla yükümlüdür.

Madde 16. Kişisel veri sahiplerinin, yalnızca kişisel verilerinin otomatik olarak işlenmesine dayalı kararlar verirken hakları

1. Kişisel verilerin yalnızca otomatik olarak işlenmesine dayalı kararların alınması yasaktır. yasal etkiler bu maddenin 2. paragrafında belirtilen durumlar haricinde, kişisel verilerin konusuyla ilgili olarak veya haklarını ve meşru menfaatlerini etkileyen başka bir şekilde.

2. Kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen bir karar, kişisel verilerinin münhasıran otomatik olarak işlenmesi temelinde ancak ilgili kişinin yazılı rızası ile alınabilir. kişisel veriler veya kişisel verilerin konusunun haklarına ve meşru menfaatlerine uyulmasını sağlamak için önlemler alan federal yasalar tarafından öngörülen durumlarda.

3. İşletmeci, kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde karar verme prosedürünü ve böyle bir kararın olası yasal sonuçlarını, böyle bir itiraza itiraz etme fırsatı sağlamak için kişisel verilerin konusuna açıklamakla yükümlüdür. kararı ve ayrıca kişisel veri öznesinin haklarını ve meşru menfaatlerini koruma prosedürünü açıklamak.

4. İşletmeci, bu maddenin 3. fıkrasında belirtilen itirazı, kendisine ulaştığı tarihten itibaren otuz gün içinde değerlendirmek ve bu itirazın değerlendirilmesinin sonuçlarını kişisel veri konusuna bildirmekle yükümlüdür. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Madde 17. İşletmecinin eylemlerine veya ihmallerine karşı itiraz hakkı

1. Kişisel verilerin konusu, operatörün kişisel verilerini bu Federal Yasanın gereklerine aykırı olarak işlediğine veya hak ve özgürlüklerini başka bir şekilde ihlal ettiğine inanıyorsa, kişisel verilerin konusu, kişinin eylemlerine veya eylemsizliğine itiraz etme hakkına sahiptir. kişisel verilerin konularının haklarının korunması için yetkili organa veya yargı emri.

2. Kişisel verilerin konusu, tazminat ve (veya) tazminat da dahil olmak üzere haklarını ve meşru menfaatlerini koruma hakkına sahiptir. ahlaki hasar adli olarak.

Bölüm 4. OPERATÖRÜN YÜKÜMLÜLÜKLERİ

Madde 18 İşletmecinin kişisel verileri toplarken yükümlülükleri (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verileri toplarken, işletmeci, talebi üzerine kişisel verilerin konusuna bilgi vermekle yükümlüdür, Maddede belirtilen Bu Federal Yasanın 14.

2. Kişisel verilerin sağlanması federal yasaya göre zorunluysa, operatör kişisel verilerin konusuna kişisel verilerini vermeyi reddetmenin yasal sonuçlarını açıklamakla yükümlüdür.

3. Kişisel veri sahibinden kişisel veri alınmazsa, bu maddenin 4. paragrafında belirtilen durumlar hariç olmak üzere işletmeci, bu tür kişisel verileri işlemeden önce kişisel veri konusuna aşağıdakileri sağlamakla yükümlüdür: bilgi:

1) operatörün veya temsilcisinin adı veya soyadı, adı, soyadı ve adresi;

2) kişisel verilerin işlenme amacı ve yasal dayanağı;

3) kişisel verilerin hedeflenen kullanıcıları;

4) bu Federal Yasa ile belirlenen kişisel verilerin konusunun hakları;

5) kişisel verilerin elde edildiği kaynak.

4. Operatör, aşağıdaki durumlarda kişisel verilerin konusuna bu maddenin 3. paragrafında belirtilen bilgileri sağlama yükümlülüğünden muaftır:

1) kişisel verilerin konusu, kişisel verilerinin ilgili operatör tarafından işlenmesi konusunda bilgilendirilir;

2) kişisel veriler, federal yasa temelinde veya kişisel verilerin konusunun taraf veya lehtar veya garantör olduğu bir anlaşmanın uygulanmasıyla bağlantılı olarak operatör tarafından alınır;

3) kişisel verilerin, kişisel verilerin sahibi tarafından kamuya açık hale getirilmesi veya kamuya açık bir kaynaktan elde edilmesi;

4) operatör, kişisel verilerin konusunun hakları ve meşru menfaatleri ihlal edilmediği takdirde, bir gazetecinin mesleki faaliyetleri veya bilimsel, edebi veya diğer yaratıcı faaliyetler için istatistiksel veya diğer araştırma amaçları için kişisel verilerin işlenmesini gerçekleştirir;

5) kişisel verilerin konusuna bu maddenin 3. paragrafında belirtilen bilgileri sağlamak, üçüncü kişilerin haklarını ve meşru menfaatlerini ihlal eder.

5. Operatör, bilgi ve telekomünikasyon ağı "İnternet" dahil olmak üzere kişisel verileri toplarken, Rusya Federasyonu vatandaşlarının kişisel verilerinin kaydedilmesini, sistemleştirilmesini, biriktirilmesini, depolanmasını, açıklanmasını (güncellenmesini, değiştirilmesini), çıkarılmasını sağlamakla yükümlüdür. bu Federal Yasanın 6. maddesinin 1. paragraflarında belirtilen durumlar dışında, Rusya Federasyonu topraklarında bulunan veritabanlarını kullanmak. (21 Temmuz 2014 tarih ve 242-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Madde 18.1. Operatörün bu Federal Yasa ile öngörülen yükümlülükleri yerine getirmesini sağlamaya yönelik önlemler (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Operatör, bu Federal Yasa ve buna uygun olarak kabul edilen düzenleyici yasal düzenlemeler tarafından öngörülen yükümlülüklerin yerine getirilmesini sağlamak için gerekli ve yeterli önlemleri almakla yükümlüdür. Operatör, bu Federal Yasa veya diğer federal yasalar tarafından aksi belirtilmedikçe, bu Federal Yasa ve buna uygun olarak kabul edilen düzenleyici yasal düzenlemeler tarafından öngörülen yükümlülüklerin yerine getirilmesini sağlamak için gerekli ve yeterli önlemlerin bileşimini ve listesini bağımsız olarak belirler. Bu tür önlemler özellikle şunları içerebilir:

1) kişisel verilerin işlenmesini organize etmekten sorumlu bir tüzel kişilik olan operatör tarafından atanması;

2) bir tüzel kişilik olan operatör tarafından, operatörün kişisel verilerin işlenmesine ilişkin politikasını tanımlayan belgelerin, kişisel verilerin işlenmesine ilişkin yerel kanunların ve ayrıca ihlallerin önlenmesi ve tespit edilmesine yönelik prosedürleri oluşturan yerel kanunların yayınlanması bu tür ihlallerin sonuçlarını ortadan kaldıran Rusya Federasyonu mevzuatı;

3) bu Federal Yasa uyarınca kişisel verilerin güvenliğini sağlamak için yasal, organizasyonel ve teknik önlemlerin uygulanması;

4) iç kontrolün uygulanması ve (veya) kişisel verilerin işlenmesinin bu Federal Yasa ve buna uygun olarak kabul edilen düzenlemelere uygunluğunun denetimi; yasal işlemler, kişisel verilerin korunması için gereklilikler, işletmecinin kişisel verilerin işlenmesine ilişkin politikası, yerel eylemlerŞebeke;

5) bu Federal Yasanın ihlali durumunda kişisel veri sahiplerine verilebilecek zararın değerlendirilmesi, söz konusu zararın oranı ve operatör tarafından öngörülen yükümlülüklerin yerine getirilmesini sağlamaya yönelik alınan önlemler bu Federal Yasa;

6) kişisel verilerin işlenmesine doğrudan dahil olan operatör çalışanlarının, kişisel verilerin korunmasına ilişkin gereklilikler de dahil olmak üzere, Rusya Federasyonu'nun kişisel verilerle ilgili mevzuatının hükümlerine, operatörün kişisel verilerin işlenmesine ilişkin politikasını tanımlayan belgelere aşina olması , kişisel verilerin işlenmesine ilişkin yerel eylemler ve (veya) söz konusu çalışanların eğitimi.

2. Operatör, kişisel verilerin işlenmesine ilişkin politikasını tanımlayan belgeye, kişisel verilerin korunması için uygulanan gereklilikler hakkındaki bilgilere yayınlamak veya başka bir şekilde sınırsız erişim sağlamakla yükümlüdür. Bilgi ve telekomünikasyon ağlarını kullanarak kişisel verileri toplayan bir işletmeci, ilgili bilgi ve telekomünikasyon ağında, kişisel verilerin işlenmesine ilişkin politikasını ve uygulanan kişisel verilerin korunması gerekliliklerine ilişkin bilgileri tanımlayan bir belge yayınlamakla yükümlüdür. ilgili bilgi ve telekomünikasyon ağının araçlarını kullanarak bu belgeye erişim sağlamak için.

3. Rusya Federasyonu Hükümeti, bu Federal Kanun tarafından öngörülen yükümlülüklerin ve buna uygun olarak devlet veya belediye organları olan operatörler tarafından kabul edilen düzenleyici yasal düzenlemelerin yerine getirilmesini sağlamaya yönelik bir önlemler listesi oluşturur.

4. İşletmeci, belge ve belgeleri ibraz etmekle yükümlüdür. yerel eylemler bu maddenin 1. bölümünde belirtilen ve (veya) talep üzerine bu maddenin 1. bölümünde belirtilen tedbirlerin kabul edildiğini başka şekilde teyit eden yetkili kuruluş kişisel veri sahiplerinin haklarını korumak.

Madde 19. Kişisel verilerin işlenmesi sırasında güvenliğini sağlamaya yönelik tedbirler (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. İşletmeci, kişisel verileri işlerken gerekli yasal, organizasyonel ve teknik önlemler veya kişisel verilere yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, sağlanmasından, dağıtılmasından ve ayrıca kişisel verilerle ilgili diğer yasa dışı eylemlerden korumak için kabul edilmesini sağlamak.

2. Kişisel verilerin güvenliğinin sağlanması, özellikle:

1) kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin belirlenmesi;

2) Kişisel verilerin korunmasına ilişkin gereklilikleri karşılamak için gerekli olan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kurumsal ve teknik önlemlerin uygulanması, uygulanması kişisel verilerin koruma düzeylerini sağlar. Rusya Federasyonu Hükümeti;

3) belirlenen prosedüre uygun olarak uygunluk değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanımı;

4) kişisel veri bilgi sisteminin devreye alınmasından önce kişisel verilerin güvenliğini sağlamak için alınan önlemlerin etkinliğinin değerlendirilmesi;

5) göz önünde bulundurularak makine ortamı kişisel veri;

6) kişisel verilere yetkisiz erişim durumlarının tespiti ve tedbirlerin alınması;

7) yetkisiz erişim nedeniyle değiştirilen veya yok edilen kişisel verilerin kurtarılması;

8) kişisel veri bilgi sisteminde işlenen kişisel verilere erişim kurallarının oluşturulması ve kişisel verilerle gerçekleştirilen tüm işlemlerin kişisel veri bilgi sistemine kaydedilmesi ve muhasebeleştirilmesi;

9) kişisel verilerin güvenliğini sağlamak için alınan tedbirlerin ve kişisel veri bilgi sistemlerinin güvenlik düzeyinin kontrolü.

3. Rusya Federasyonu Hükümeti, olası zarar kişisel verilerin konusu, işlenen kişisel verilerin hacmi ve içeriği, kişisel verilerin işlendiği faaliyet türü, kişisel verilerin güvenliğine yönelik tehditlerin ilgisi aşağıdakiler tarafından belirlenir:

1) kişisel verilerin bilgi sistemlerinde işlenmesi sırasında, bu verilerin güvenliğine yönelik tehditlere bağlı olarak korunma seviyeleri;

2) kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunması için gereklilikler, uygulanması kişisel verilerin belirlenmiş koruma düzeylerini sağlar;

3) biyometrik kişisel verilerin maddi taşıyıcıları ve bu tür verileri kişisel veri bilgi sistemleri dışında depolamak için teknolojiler için gereksinimler.

4. Güvenlik seviyeleri, organizasyonel ve teknik önlemlerin her biri için bu maddenin 3. bölümüne uygun olarak Rusya Federasyonu Hükümeti tarafından oluşturulan kişisel verilerin korunması gerekliliklerini yerine getirmek için gerekli organizasyonel ve teknik önlemlerin bileşimi ve içeriği Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için, güvenlik alanında yetkili federal organ yürütme organı ve teknik istihbarat ve bilgilerin teknik korunmasına karşı mücadele alanında yetkili federal yürütme organı tarafından kurulur. onların güçleri.

5. Yerleşik faaliyet alanında devlet politikası ve yasal düzenleme geliştirme işlevlerini yerine getiren federal yürütme organları, Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları, Rusya Bankası, devlet bütçe dışı fon organları, diğer Devlet organları, yetkileri dahilinde, kişisel verilerin içeriğini dikkate alarak, ilgili faaliyetler sırasında işletilen kişisel veri bilgi sistemlerinde kişisel verilerin işlenmesiyle ilgili kişisel verilerin güvenliğine yönelik tehditleri belirleyen düzenleyici yasal düzenlemeler kabul eder. veriler, bunların işlenmesinin doğası ve yöntemleri.

6. Bu maddenin 5. bölümü uyarınca kabul edilen düzenleyici yasal düzenlemelerde tanımlanan kişisel verilerin güvenliğine yönelik tehditlerin yanı sıra, dernekler, birlikler ve diğer işletmeci birlikleri, kararlarıyla, kişisel verilerin güvenliğine yönelik ek tehditleri belirleme hakkına sahiptir. Kişisel verilerin içeriği dikkate alınarak, bu tür birlik, birlik ve diğer işletmeci birliklerinin üyeleri tarafından belirli türdeki faaliyetlerin yürütülmesi sırasında işletilen kişisel veri bilgi sistemlerinde kişisel verilerin işlenmesiyle ilgili kişisel verilerin güvenliği, bunların işlenmesinin doğası ve yöntemleri.

7. Bu maddenin 5. Bölümünde atıfta bulunulan taslak düzenleyici yasal düzenlemeler, güvenlik alanında yetkili federal yürütme organı ve teknik istihbaratla mücadele ve bilgilerin teknik korunması alanında yetkili federal yürütme organı tarafından onaylanmaya tabidir. Bu maddenin 6. Bölümünde belirtilen taslak kararlar, güvenlik alanında yetkili federal yürütme organı ve teknik istihbarata karşı koyma ve bilgilerin teknik korunması alanında yetkili federal yürütme organı tarafından belirlenen şekilde onaya tabidir. Rusya Federasyonu Hükümeti. Çözüm federal organ güvenlik alanında yetkili yürütme makamı ve teknik istihbaratla mücadele ve bilgilerin teknik korunması alanında yetkili federal yürütme makamı, bu maddenin 6. bölümünde belirtilen taslak kararları onaylamayı reddetme konusunda motive edilmelidir.

8. Devlet kişisel veri bilgi sistemlerinde kişisel verileri işlerken, bu maddeye göre oluşturulan kişisel verilerin güvenliğini sağlamak için kurumsal ve teknik önlemlerin uygulanmasının kontrolü ve denetimi, bu alanda yetkili federal yürütme organı tarafından gerçekleştirilir. güvenlik ve teknik istihbarat ve bilgilerin teknik korunmasına karşı mücadele alanında yetkili federal yürütme organı yetkilileri, yetkileri dahilinde ve kişisel veri bilgi sistemlerinde işlenen kişisel verileri tanıma hakkı olmadan.

9. Güvenlik alanında yetkili federal yürütme organı ve teknik istihbarat ve bilgilerin teknik korunmasına karşı koyma alanında yetkili federal yürütme organı, Rusya Federasyonu Hükümeti'nin kararıyla, önem ve içeriği dikkate alınarak işlenen kişisel veriler, bu madde uyarınca kurulan kişisel verilerin, belirli türdeki faaliyetler kapsamında işletilen kişisel veri bilgi sistemlerinde işlendiğinde güvenliğini sağlamaya yönelik kurumsal ve teknik tedbirlerin uygulanmasını kontrol etmeye yetkili olabilir. ve kişisel veri bilgi sistemlerinde işlenen kişisel verileri tanıma hakkı olmaksızın, devlet kişisel veri bilgi sistemleri değildir.

10. Biyometrik kişisel verilerin kişisel veri bilgi sistemleri dışında kullanılması ve saklanması ancak bu tür materyal ortamlarında ve bu verilerin yetkisiz veya kazara erişime, imha edilmesine, değiştirilmesine, engellenmesine karşı korunmasını sağlayan depolama teknolojisi kullanılarak gerçekleştirilebilir. , kopyalama , sağlama, dağıtım.

11. Bu maddenin amaçları doğrultusunda, kişisel verilerin güvenliğine yönelik tehditler, imha, değiştirme, engelleme ile sonuçlanabilecek kişisel verilere kazara dahil olmak üzere yetkisiz erişim tehlikesi yaratan bir dizi koşul ve faktör olarak anlaşılmaktadır. kişisel verilerin kopyalanması, sağlanması, dağıtılması ve ayrıca diğer suistimal kişisel veri bilgi sisteminde işlenmesi sırasında. Kişisel verilerin koruma seviyesi, yerine getirilmesi kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik belirli tehditlerin etkisiz hale getirilmesini sağlayan gereksinimleri karakterize eden karmaşık bir gösterge olarak anlaşılır.

Madde 20 (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Operatör, bu Federal Yasanın öngördüğü şekilde, kişisel verilerin konusunu veya temsilcisini, ilgili kişisel verilerin konusuyla ilgili kişisel verilerin mevcudiyeti hakkında bilgilendirmek ve ayrıca aşina olma fırsatı sağlamakla yükümlüdür. kişisel verilerin konusu veya temsilcisi ile iletişime geçtiğinde veya kişisel veri sahibinin veya temsilcisinin talebinin kendisine ulaştığı tarihten itibaren otuz gün içinde bu kişisel verilerle kendisi ile iletişime geçecektir.

2. Kişisel verilerin konusu veya kişisel verilerin ilgili konusuna ilişkin kişisel verilerin mevcudiyeti hakkında kişisel verilerin konusuna veya temsilcisine, talebi üzerine veya kişisel veri sahibinden bir talep gelmesi üzerine bilgi vermeyi reddetmesi durumunda veya temsilcisi, işletmeci, bu Federal Yasanın 14. maddesinin veya böyle bir reddetmenin temeli olan diğer federal yasanın hükmüne bir bağlantı içeren yazılı olarak gerekçeli bir yanıt vermekle yükümlüdür. kişisel veri konusunun veya temsilcisinin başvuru tarihi veya kişisel veri konusunun veya temsilcisinin talebinin alındığı tarihten itibaren.

3. İşletmeci, kişisel verilerin konusuna veya temsilcisine, bu kişisel veri konusuna ilişkin kişisel verileri tanıma fırsatını ücretsiz olarak sağlamakla yükümlüdür. Kişisel verilerin konusunun veya temsilcisinin, kişisel verilerin eksik, yanlış veya güncel olmadığını teyit eden bilgileri sağladığı tarihten itibaren yedi iş gününü aşmayan bir süre içinde, işletmeci bunları girmekle yükümlüdür. Gerekli değişiklikler. Kişisel verilerin öznesi veya temsilcisi tarafından, bu tür kişisel verilerin yasa dışı olarak elde edildiğini veya belirtilen işleme amacı için gerekli olmadığını teyit eden bilgileri sunduğu tarihten itibaren yedi iş gününü aşmayan bir süre içinde, işletmeci bu bilgileri imha etmekle yükümlüdür. kişisel veri. İşletmeci, kişisel verilerinin konusunu veya temsilcisini bu konuda bilgilendirmekle yükümlüdür. değişiklikler ve bu konudaki kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesi için alınan tedbirler ve makul tedbirlerin alınması.

4. İşletmeci, bu organın talebi üzerine, kişisel veri konularının haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür. gerekli bilgi bu talebin alındığı tarihten itibaren otuz gün içinde.

Madde 21 (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Kişisel verilerin konusu veya temsilcisinin kişisel veri sahibinin veya temsilcisinin veya kişisel veri sahiplerinin haklarının korunması için yetkili organın talebi üzerine veya kişisel verilerin konusu veya temsilcisi ile temasa geçtiğinde kişisel verilerin hukuka aykırı olarak işlendiğinin tespit edilmesi, İşletmeci, bu kişisel veri konusuna ilişkin hukuka aykırı olarak işlenmiş kişisel verileri, bu tür bir başvurunun yapıldığı andan itibaren engellemek veya (kişisel verilerin işlenmesi işletmeci adına hareket eden başka bir kişi tarafından gerçekleştiriliyorsa) engellenmesini sağlamakla yükümlüdür veya doğrulama süresi için belirtilen talebin alınması. Kişisel verilerin konusu veya temsilcisi ile temas kurduğunda veya onların talebi üzerine veya kişisel verilerin konularının haklarının korunması için yetkili organın talebi üzerine yanlış kişisel verilerin tespit edilmesi durumunda, işletmeci bloke etmekle yükümlüdür. Kişisel verilerin bu konusuna ilişkin kişisel verilerin veya bunların engellenmesini sağlamak (kişisel verilerin işletici adına hareket eden başka bir kişi tarafından gerçekleştirilmesi durumunda), bu tür bir başvuru veya belirtilen talebin alındığı andan itibaren doğrulama süresi için, kişisel verilerin engellenmesi, kişisel verilerin konusunun veya üçüncü kişilerin haklarını ve meşru menfaatlerini ihlal etmiyorsa.

2. Kişisel verilerin yanlış olduğu gerçeği teyit edilirse, işletmeci, kişisel verilerin konusu veya temsilcisi veya kişisel verilerin konularının haklarının korunması için yetkili organ tarafından sağlanan bilgilere dayanarak veya diğer gerekli belgeleri, kişisel verileri açıklığa kavuşturmak veya (kişisel verilerin işlenmesi, işletmeci adına hareket eden bir kişi tarafından başka bir kişi tarafından gerçekleştiriliyorsa) bu bilgilerin verildiği tarihten itibaren yedi iş günü içinde açıklığa kavuşturmak ve engellemeyi kaldırmakla yükümlüdür. kişisel veriler.

4. Kişisel verilerin işlenme amacına ulaşılması halinde, işletmeci, kişisel verilerin işlenmesini durdurmak veya sona erdirilmesini sağlamakla (kişisel verilerin işlenmesi işletmeci adına hareket eden başka bir kişi tarafından gerçekleştirilirse) ve kişisel verileri imha etmek veya yok etmekle yükümlüdür. Sözleşmede aksi belirtilmedikçe, kişisel verilerin işlenme amacına ulaşıldığı tarihten itibaren otuz günü aşmayan bir süre içinde (kişisel verilerin işlenmesi işletmeci adına hareket eden başka bir kişi tarafından gerçekleştirilirse) imha edilmesini sağlamak kişisel verilerin konusunun taraf, lehtar veya garantör olduğu, işletmeci ile kişisel verilerin konusu arasında başka bir sözleşme olması veya işletmecinin kişisel veri sahibinin rızası olmaksızın kişisel verileri işlemeye yetkili olmadığı gerekçelerle bu Federal Yasa veya diğer federal yasalar tarafından sağlanan.

5. Kişisel verilerin konusu, kişisel verilerinin işlenmesine ilişkin onayını geri çekerse, işletmeci bunları işlemeyi durdurmak veya bu tür işlemenin sona erdirilmesini sağlamakla yükümlüdür (kişisel verilerin işlenmesi, onun adına hareket eden başka bir kişi tarafından gerçekleştirilirse). işletmeci) ve kişisel verilerin işlenmesi amacıyla kişisel verilerin saklanması artık gerekli değilse, kişisel verileri imha edin veya imha edilmesini sağlayın (kişisel verilerin işlenmesi işletmeci adına hareket eden başka bir kişi tarafından gerçekleştirilirse) bir süre içinde. Sözleşmede aksi belirtilmedikçe, kişisel verilerin konusu olan taraf, lehdar veya garantör, işletmeci ile iş sahibi arasındaki başka bir sözleşmede aksi belirtilmedikçe, söz konusu caymanın alındığı tarihten itibaren otuz günü aşmayan bir süre. kişisel veriler veya operatör, bu Federal Yasa tarafından öngörülen gerekçelerle kişisel verilerin konusunun rızası olmadan kişisel verileri işleme hakkına sahip değilse m yasa veya diğer federal yasalar.

6. Kişisel verilerin bu maddenin 3-5 bölümlerinde belirtilen süre içinde imha edilmesinin mümkün olmaması durumunda, işletmeci bu tür kişisel verileri bloke eder veya bloke edilmesini sağlar (kişisel verilerin işlenmesi, adına hareket eden başka bir kişi tarafından gerçekleştirilirse). operatör) ve federal yasalar tarafından başka bir süre belirlenmedikçe, altı aydan fazla olmayan bir süre içinde kişisel verilerin imha edilmesini sağlar.

Madde 22. Kişisel verilerin işlenmesine ilişkin bildirim

1. Kişisel verilerin işlenmesinden önce, operatör, bu maddenin 2. bölümünde belirtilen durumlar dışında, kişisel verilerin konularının haklarının korunması için yetkili organa kişisel verileri işleme niyetini bildirmekle yükümlüdür.

2. Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmaksızın, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

1) iş mevzuatına uygun olarak işlenmiş; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2) kişisel verilerin, kişisel veri sahibinin rızası olmadan üçüncü taraflara dağıtılmaması veya sağlanmaması ve işletmeci tarafından kullanılması durumunda, kişisel veri sahibinin taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan sadece yürütme için söz konusu anlaşma ve kişisel verilerin konusuyla anlaşmaların yapılması;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve kurucu belgelerinde öngörülen meşru hedeflere ulaşmak için Rusya Federasyonu mevzuatına uygun olarak hareket eden ilgili kamu kuruluşu veya dini kuruluş tarafından işlenen, kişisel veri sahiplerinin yazılı rızası olmaksızın kişisel verilerin dağıtılmaması veya üçüncü şahıslara ifşa edilmemesi kaydıyla; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

4) kişisel verilerin konusu tarafından alenileştirilmiş; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

5) kişisel veri konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) kişisel verilerin konusunun operatörün bulunduğu bölgeye tek geçişi veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak devlet otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde yer alan; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

8) işleme sırasında kişisel verilerin güvenliğini sağlamak ve kişisel veri konularının haklarını gözetmek için gereksinimleri belirleyen federal yasalara veya Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemelerine uygun olarak otomasyon araçları kullanılmadan işlenir.

9) ulaşım kompleksinin sürdürülebilir ve güvenli işleyişini sağlamak, ulaşım kompleksi alanındaki bireyin, toplumun ve devletin çıkarlarını korumak için Rusya Federasyonu'nun ulaşım güvenliği mevzuatının öngördüğü durumlarda işlenir. yasa dışı müdahale eylemlerinden (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

3. Bu maddenin 1. paragrafında öngörülen bildirim, kağıt üzerinde bir belge veya elektronik bir belge şeklinde gönderilir ve imzalanır. yetkili kişi. Bildirim aşağıdaki bilgileri içermelidir: (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1) adı (soyadı, adı, soyadı), operatörün adresi;

2) kişisel verilerin işlenme amacı;

5) kişisel verilerin işlenmesi için yasal dayanak;

6) kişisel verilerle ilgili eylemlerin bir listesi, operatör tarafından kişisel verileri işlemek için kullanılan yöntemlerin genel bir açıklaması; işleme sürecinde kişisel verilerin sınır ötesi aktarımının varlığı veya yokluğu hakkında bilgi; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

10.1) Rusya Federasyonu vatandaşlarının kişisel verilerini içeren bilgi veritabanının yeri hakkında bilgi; (21 Temmuz 2014 tarih ve 242-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

11) Kişisel verilerin korunması gerekliliklerine uygun olarak kişisel verilerin güvenliğinin sağlanmasına ilişkin bilgi, Hükümet tarafından kurulan Rusya Federasyonu. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

4. Kişisel verilerin konularının haklarının korunması için yetkili organ, kişisel verilerin işlenmesine ilişkin bildirimin alındığı tarihten itibaren otuz gün içinde, bu maddenin 3. paragrafında belirtilen bilgileri ve ayrıca bilgileri girer. söz konusu bildirimin işletmeciler siciline gönderildiği tarihte. İşlenmeleri sırasında kişisel verilerin güvenliğini sağlama yöntemleri hakkındaki bilgiler hariç olmak üzere, operatörlerin sicilinde yer alan bilgiler kamuya açıktır.

5. Kişisel verilerin konularının haklarının korunması için yetkili organ tarafından kişisel verilerin işlenmesine ilişkin bildirimin dikkate alınmasının yanı sıra, bilgilerin sisteme girilmesiyle bağlantılı olarak operatörden masraf talep edilemez. operatörlerin kaydı.

6. Eksik veya eksik ibrazı halinde yanlış bilgi bu maddenin 3. paragrafında belirtilen, kişisel verilerin konularının haklarının korunmasına yönelik yetkili organ, operatörlerin siciline girilmeden önce sağlanan bilgileri netleştirmesini talep etme hakkına sahiptir.

7. Bu maddenin 3. paragrafında belirtilen bilgilerde değişiklik olması ve ayrıca kişisel verilerin işlenmesinin sona ermesi durumunda, işletmeci, haklarının korunması için yetkili organa bildirimde bulunmakla yükümlüdür. bu tür değişikliklerin meydana geldiği tarihten veya kişisel verilerin işlenmesinin sona erdiği tarihten itibaren on iş günü içinde kişisel verilerin konuları. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Madde 22.1. Kuruluşlarda kişisel verilerin işlenmesini organize etmekten sorumlu kişiler (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

1. Tüzel kişi olan işletmeci, kişisel verilerin işlenmesini organize etmekten sorumlu bir kişi atar.

2. Kişisel verilerin işlenmesini organize etmekten sorumlu kişi, doğrudan işletmeci olan ve kendisine karşı sorumlu olan kuruluşun yürütme organından talimatlar alır.

3. Operatör, kişisel verilerin işlenmesini organize etmekten sorumlu kişiye bu Federal Yasanın 22. Maddesinde belirtilen bilgileri sağlamakla yükümlüdür.

4. Kişisel verilerin işlenmesini organize etmekten sorumlu kişi, özellikle şunları yapmakla yükümlüdür:

1) egzersiz dahili kontrol operatör ve çalışanları tarafından kişisel verilerin korunması gereklilikleri de dahil olmak üzere Rusya Federasyonu'nun kişisel verilerle ilgili mevzuatına uyulması için;

2) Rusya Federasyonu mevzuatının kişisel verilerle ilgili hükümlerini, kişisel verilerin işlenmesine ilişkin yerel kanunları, kişisel verilerin korunması gerekliliklerini operatörün çalışanlarının dikkatine sunmak;

3) kişisel veri sahiplerinden veya temsilcilerinden gelen itirazların ve taleplerin alınmasını ve işlenmesini organize eder ve (veya) bu tür itiraz ve taleplerin kabulü ve işlenmesi üzerinde kontrol sahibi olur.

Bölüm 5. KİŞİSEL VERİLERİN İŞLENMESİ ÜZERİNDE DEVLET KONTROLÜ VE DENETİM. BU FEDERAL YASANIN GEREKLİLİKLERİNİN İHLALİNDEN YÜKÜMLÜLÜK (22 Şubat 2017 tarih ve 16-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

Madde 23. Kişisel verilerin konularının haklarının korunması için yetkili organ

1. Kişisel verilerin konularının haklarının korunması için yetkili organ, kişisel verilerin işlenmesinin Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu üzerinde kontrol ve denetim işlevlerini yerine getiren federal yürütme organıdır. kişisel veri alanı. (22 Şubat 2017 tarih ve 16-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

1.1. Kişisel verilerin konularının haklarının korunması için yetkili organ, kişisel verilerin işlenmesinin bu Federal Yasa ve buna uygun olarak kabul edilen düzenlemelerin gerekliliklerine uygunluğu üzerinde devlet kontrolünü ve denetimini sağlar, düzenler ve uygular (devlet kontrolü ve kişisel verilerin işlenmesinin denetimi). Tüzel kişilerin teftişlerini organize etme ve yürütme prosedürü ve bireysel girişimciler, operatörler, kişisel verilerin konularının haklarının korunması için yetkili organ ve ayrıca düzenleme ve uygulama prosedürü devlet kontrolü ve kişisel verilerin operatör olan diğer kişiler tarafından işlenmesinin denetimi, Rusya Federasyonu Hükümeti tarafından belirlenir. (22 Şubat 2017 tarih ve 16-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

2. Kişisel verilerin konularının haklarının korunması için yetkili organ, kişisel verilerin konusunun, kişisel verilerin içeriğinin ve işlenme yöntemlerinin işlenme amaçlarına uygunluğu konusundaki itirazlarını değerlendirir ve uygun bir karar verir. .

3. Kişisel verilerin konularının haklarının korunması için yetkili organın hakkı:

1) gerçek veya tüzel kişilerden yetkilerini kullanmaları için gerekli bilgileri talep etme ve bu bilgileri ücretsiz olarak alma;

2) kişisel verilerin işlenmesine ilişkin bildirimde yer alan bilgileri doğrulamak veya bu doğrulamayı gerçekleştirmek için yetkileri dahilinde diğer devlet organlarını dahil etmek;

3) operatörün yanlış veya yasa dışı olarak elde edilen kişisel verileri açıklığa kavuşturmasını, engellemesini veya imha etmesini istemek;

3.1) Rusya Federasyonu mevzuatının öngördüğü şekilde, kişisel veriler alanında Rusya Federasyonu mevzuatına aykırı olarak işlenen bilgilere erişimi kısıtlamak; (21 Temmuz 2014 tarih ve 242-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

4) bu Federal Yasanın gereklerine aykırı olarak gerçekleştirilen kişisel verilerin işlenmesini askıya almak veya sona erdirmek için Rusya Federasyonu mevzuatı ile belirlenen prosedüre uygun önlemler almak;

5) mahkemeye gitmek iddia beyanları belirsiz bir insan çevresinin haklarının savunması da dahil olmak üzere kişisel veri konularının haklarının savunmasında ve kişisel veri konularının çıkarlarını mahkemede temsil etmek; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

5.1) güvenlik alanında yetkili federal yürütme organına ve teknik istihbaratla mücadele ve bilgilerin teknik korunması alanında yetkili federal yürütme organına, faaliyet alanlarıyla ilgili olarak, 22. maddenin 3. bölümünde belirtilen bilgileri göndermek bu Federal Yasanın; (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

6) işletmecinin faaliyetlerini lisanslayan kuruluşa, taşıma lisansının şartının bulunması halinde, Rusya Federasyonu mevzuatı tarafından belirlenen usule uygun olarak ilgili lisansı askıya almak veya iptal etmek için önlemler alma konusunu değerlendirmek üzere bir başvuru göndermek bu tür faaliyetler, kişisel verilerin konusunun yazılı formunun rızası olmadan kişisel verilerin üçüncü taraflara aktarılmasının yasaklanmasıdır;

7) yargı yetkisine uygun olarak, kişisel verilerin konularının haklarının ihlali ile ilgili suçlar nedeniyle ceza davalarının başlatılması sorununu çözmek için savcılığa, diğer kolluk kuvvetlerine materyal göndermek;

8) kişisel verilerin konularının haklarının korunmasına ilişkin yasal düzenlemenin iyileştirilmesi konusunda Rusya Federasyonu Hükümetine önerilerde bulunmak;

9) çekmek idari sorumluluk bu Federal Yasayı ihlal etmekten suçlu olan kişiler.

4. Faaliyetleri sırasında kişisel veri sahiplerinin haklarının korunması için yetkili organ tarafından tanınan kişisel verilerle ilgili olarak, kişisel verilerin gizliliği sağlanmalıdır.

5. Kişisel verilerin konularının haklarının korunması için yetkili organ:

1) bu Federal Yasanın ve diğer federal yasaların gerekliliklerine uygun olarak, kişisel verilerin konularının haklarının korunmasını organize etmek;

2) kişisel verilerin işlenmesiyle ilgili konularda vatandaşların veya tüzel kişilerin şikayet ve itirazlarını dikkate almak ve değerlendirme sonuçlarına göre yetkileri dahilinde kararlar almak bu şikayetler ve itirazlar;

3) operatörlerin kaydını tutmak;

4) kişisel verilerin konularının haklarının korunmasını iyileştirmeye yönelik önlemler almak;

5) güvenlik alanında yetkili federal yürütme organının, devlet güvenliği alanındaki federal yürütme organının veya bu konuda yetkili federal yürütme organının teklifi üzerine Rusya Federasyonu mevzuatı ile belirlenen prosedüre uygun olarak kabul eder. teknik istihbarat ve bilgilerin teknik korunmasına karşı koyma alanı, kişisel verilerin işlenmesini askıya alma veya sona erdirme önlemleri; (1 Temmuz 2017 tarih ve 148-FZ sayılı Federal Kanun ile değiştirildiği şekliyle)

6) devlet organlarını ve ayrıca kişisel veri konularını, kişisel veri konularının haklarının korunması alanındaki işlerin durumu hakkındaki talepleri veya talepleri hakkında bilgilendirmek;

7) Rusya Federasyonu mevzuatının öngördüğü diğer görevleri yerine getirmek.

5.1. Kişisel verilerin konularının haklarının korunmasına yönelik yetkili kurum, yabancı ülkelerdeki kişisel veri konularının haklarını korumaya yetkili kuruluşlarla, özellikle kişisel verilerin konularının haklarının korunmasına ilişkin uluslararası bilgi alışverişi ile işbirliği yapar. data, kişisel verilerin konularının haklarının yeterli şekilde korunmasını sağlayan yabancı devletlerin listesini onaylar. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

6. Yetkili organın kişisel verilerin konularının haklarının korunmasına ilişkin kararları mahkemede temyiz edilebilir.

7. Kişisel verilerin konularının haklarının korunmasına ilişkin yetkili organ, faaliyetleri hakkında Rusya Federasyonu Başkanına, Rusya Federasyonu Hükümetine ve Rusya Federasyonu Federal Meclisine yıllık olarak bir rapor gönderir. Belirtilen rapor, kitle iletişim araçlarında yayınlanmaya tabidir.

8. Kişisel verilerin konularının haklarının korunması için yetkili organın finansmanı, federal bütçe pahasına gerçekleştirilir.

9. Kişisel verilerin konularının haklarının korunmasına yönelik yetkili organ kapsamında, gönüllü olarak bir danışma konseyi oluşturulur ve bunların oluşumu ve işleyişi, hakların korunması için yetkili organ tarafından belirlenir. kişisel verilerin konuları.

Madde 24. Bu Federal Yasanın gerekliliklerinin ihlali sorumluluğu

1. Bu Federal Yasanın gereklerini ihlal etmekten suçlu bulunan kişiler, kanunla sağlanan Rusya Federasyonu sorumluluğu. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

2. Kişisel verilerin konusuna haklarının ihlali, bu Federal Yasa ile oluşturulan kişisel verilerin işlenmesine ilişkin kuralların ihlali ve buna uygun olarak oluşturulan kişisel verilerin korunması gereklilikleri nedeniyle manevi zarar Federal Kanun, Rusya Federasyonu mevzuatına göre tazminata tabidir. Manevi zararın tazmini, kişisel verilerin konusunun uğradığı maddi zarar ve kayıpların tazmini gözetilmeksizin gerçekleştirilir. (25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Bölüm 6. SON HÜKÜMLER

Madde 25. Nihai hükümler

1. Bu Federal Yasa, resmi yayın tarihinden yüz seksen gün sonra yürürlüğe girer.

2. Bu Federal Yasanın yürürlüğe girdiği günden sonra, kişisel veri bilgi sistemlerinde yer alan kişisel verilerin yürürlüğe girdiği güne kadar işlenmesi bu Federal Yasaya uygun olarak gerçekleştirilir.

2.1. 1 Temmuz 2011 tarihinden önce kişisel veri işleyen işleticilerin, kişisel veri sahiplerinin haklarının korunması için yetkili organa, fıkralarda belirtilen bilgileri,

5. Devlet organları, tüzel kişiler, devlet ve belediye hizmetlerinin sunumunda şahıslar tarafından gerçekleştirilen kişisel verilerin işlenmesi, devlet ve belediye hizmetlerinin yürütülmesi ile ilgili ilişkiler belediye işlevleri Rusya Federasyonu konusunda - şehir federal önem Moskova, bu Federal Yasa tarafından yönetilir, aksi takdirde Federal Yasa tarafından "Rusya Federasyonu konusuna katılımla bağlantılı belirli yasal ilişkilerin düzenlenmesinin özellikleri hakkında - federal öneme sahip şehir Moskova bölgeleri ve bazı düzenlemelerde değişiklik yapılması yasama işlemleri Rusya Federasyonu". (5 Nisan 2013 tarih ve 43-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Rusya Federasyonu Başkanı
V. PUTİN

Moskova Kremlini

27 Temmuz 2006 kabul edildi 152-FZ Sayılı Federal Kanun "Kişisel Veriler Hakkında" mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamak. Bu yasanın kabul edilmesinin nedenlerinden biri, hükümet ve ticari yapılardaki kişisel veri tabanlarının çalınmasına, yaygın olarak satılmasına ilişkin sayısız gerçekti.

"Kişisel veri" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımı da yasanın kabul edilmesinden önce, örneğin, "Gizli bilgiler listesi"nde karşılanmıştır. 188 Sayılı Rusya Federasyonu Cumhurbaşkanı Kararnamesi 6 Mart 1997:

İle kesin bilgi şunları içerir: bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, kişiliğini tanımlamaya izin veren bilgiler ( kişisel veri), federal yasalarla belirlenen durumlarda kitle iletişim araçlarında dağıtılacak bilgiler hariç.

Ancak, yasa bunu tamamladı. Şimdi, göre FZ-152, kişisel veri -

Soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu dahil olmak üzere, bu tür bilgilere dayanarak (kişisel verilere konu olan) tanımlanan veya belirlenen bir kişiyle ilgili her türlü bilgi , eğitim, meslek, gelir, diğer bilgiler.

Bu nedenle kişisel veriler, öncelikle pasaport verileri, medeni durum bilgileri, eğitim bilgileri, TIN numaraları, devletin sigorta sertifikasıdır. emeklilik sigortası, sağlık sigortası, hakkında bilgi emek faaliyeti, sosyal ve mülkiyet durumu, gelir hakkında bilgiler. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın kişisel bir kartta, otobiyografide ve bir iş sözleşmesi imzalarken doldurulan diğer belgelerde belirttiği işverenin personel departmanının verileridir.

bir çocuk girdiğinde Çocuk Yuvası, okul, kolej, diğerleri Eğitim Kurumları Hem çocuğun (örneğin doğum belgesinin verileri) hem de ebeveynlerinin (iş yerine, tutulan pozisyona kadar) verilerini gösteren birçok anket ve form da doldurulur.

Tedaviye devam ederken tıbbi kurumlar sadece pasaport verilerini değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler, test sonuçları hakkında bilgileri de belirtmek gerekir. Birçok sağlık kuruluşunda ayakta / yatan hasta kartları çoğaltılmaktadır. elektronik formatta.

Ve tüm bu veriler, mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve hiç gerekli mi?

Kişisel verilerin gizliliği - kişisel verilere erişim sağlayan bir operatör veya başka bir kişi için, kişisel verilerin sahibinin rızası veya diğer yasal gerekçeler olmaksızın dağıtımına izin vermemesi için zorunlu bir gereklilik ( FZ-152).

Şebeke - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet organı, belediye organı, tüzel veya gerçek kişi ( FZ-152).

Kişisel verilerin bilgi sistemi (ISPD) - veri tabanında yer alan kişisel verilerin yanı sıra bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine izin veren bilgi teknolojileri ve teknik araçlardan oluşan bir bilgi sistemi ( FZ-152).

Kişisel verilerin işlenmesi - bunlar, toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma, engelleme, kişisel verilerin imhası dahil olmak üzere PD ile yapılan eylemlerdir (işlemler). FZ-152).

Kişisel verileri işlerken, operatör, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli tüm organizasyonel ve teknik önlemleri almalıdır.

Kişisel verilerin korunması için ne yapılması gerekiyor?

Öncelikle hangi PD bilgi sistemlerinin var olduğunu ve ne tür PD işlediklerini belirlemek gerekir.

Kişisel veri bilgi sisteminin sınıflandırılması

PD koruması sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntem ve yöntemleri seçmek için operatörün ISPD'yi sınıflandırması gerekir. Sınıflandırma sırası tanımlandı Rusya FSTEC, Rusya FSB ve Rusya Bilgi ve İletişim Bakanlığı'nın 13 Şubat 2008 tarih ve 55/86/20 sayılı emriyle.

Böylece operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atamaya karar veren bir komisyon (kuruluş başkanının emriyle) oluşturur. Sınıflandırma sırasında belirlenir:

işlenmiş kişisel veri kategorisi;
işlenen kişisel veri miktarı;
bilgi sistemi türü;
bilgi sisteminin yapısı ve teknik araçlarının yeri;
kişisel veri işleme modları;
kullanıcı erişim haklarının farklılaşma modları;
kamu ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti.

Göre Sipariş No. 55/86/20, tüm bilgi sistemleri (IS) standart ve özel olarak ayrılmıştır.

Tipik bilgi sistemleri - sadece kişisel verilerin gizliliğini gerektiren bilgi sistemleri.

Özel bilgi sistemleri - Kişisel verilerin gizliliğini sağlama ihtiyacına bakılmaksızın, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin sağlanmasının gerekli olduğu bilgi sistemleri (yok etme, değiştirme, engelleme ve diğer yetkisiz işlemlerden korunma) .

Pratikte, pratikte standart IS'lerin olmadığı ortaya çıkıyor, çünkü çoğu durumda, gizliliğe ek olarak, bilgilerin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli. Ayrıca, zorunlu olarak özel sistemler atfedilmelidir:

kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
Kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde, kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların alınmasını sağlayan bilgi sistemleri.

Bu nedenle, ilk verilerin analizinin sonuçlarına dayanarak, komisyon uygun sınıfı kişisel veri sistemine atar:

sınıf 1 (K1)- İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

2. sınıf (K2)- İşlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3)- İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

4. sınıf (K4)- İşlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırma sonuçları, ISPD'nin türünü (tipik, özel), ISPD'ye atanan sınıfı ve kararın esas alındığı koşulları belirten ISPD Sınıflandırma Yasası ile belgelenir.

Daha önce de belirtildiği gibi, ISPD'de işlenen PD'yi koruma yöntemlerinin ve araçlarının daha fazla seçimi için sınıflandırma gereklidir, çünkü FSTEC ve FSB belgelerinin her sınıfın ISPD'yi korumak için kendi gereksinimleri vardır, bundan biraz sonra bahsedeceğiz.

İşleme konu olan PD'nin onayı

Daha sonra, bu verilerin işlenmesine geçilmelidir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun rızasını almak gerekir (kanun böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller) :

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar dışında PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını, kişisel verilerin elde edilmesine ilişkin koşulları ve kişisel verileri işlemeye tabi olan konuların çevresini belirleyen ve ayrıca operatörün yetkilerini belirleyen bir federal yasa temelinde gerçekleştirilir. ;

2) Kişisel verilerin işlenmesinin, kişisel verilerin konusu olan taraflardan birinin sözleşmenin ifası amacıyla gerçekleştirilmesi;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer bilimsel amaçlar için gerçekleştirilir;

4) kişisel verilerin konusunun rızasının alınmasının imkansız olması durumunda, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesinin gerekli olması;

5) kişisel verilerin işlenmesinin teslimat için gerekli olması posta öğeleri posta kuruluşları, telekomünikasyon operatörleri tarafından sağlanan iletişim hizmetleri için iletişim hizmetleri kullanıcıları ile yerleşim yerlerinin uygulanması ve ayrıca iletişim hizmetleri kullanıcılarının taleplerinin değerlendirilmesi için;

6) kişisel verilerin konusunun hak ve özgürlüklerini ihlal etmemek kaydıyla, kişisel verilerin işlenmesinin bir gazetecinin mesleki faaliyetleri veya bilimsel, edebi veya diğer yaratıcı faaliyetler amaçları için gerçekleştirilir;

7) Yerine geçen kişilerin kişisel verileri de dahil olmak üzere yayına tabi kişisel verilerin federal yasalara uygun olarak işlenmesi kamu ofisi, kamu hizmeti pozisyonları, seçilmiş eyalet veya belediye pozisyonları için adayların kişisel verileri.

Bu nedenle, PD işleme durumumuz Federal Yasa-152'nin 6. maddesinin 2. bölümünde öngörülmüşse, onay alınması gerekli değildir.

Ayrıca takip etmek gerekli İş Kanunu, Bölüm 14. Örneğin, işveren, çalışanın özel hayatı ile ilgili verileri ancak yazılı rızası ile alma ve işleme hakkına sahiptir. (İş Kanunu'nun 86. Maddesi 4. Kısmı).

Göre Madde 9 FZ-152 kişisel verilerin konusunun kişisel verilerinin işlenmesi için rızasının alınması gerekir yazılı olarak. Kişisel verilerin konusunun yazılı rızası şunları içermelidir:

soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;
kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;
kişisel veri işlemenin amacı;
işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;
rıza verilen kişisel veriler içeren eylemlerin bir listesi, operatörün kişisel verileri işlemek için kullandığı yöntemlerin genel bir açıklaması;
rızanın geçerli olduğu süre ve geri çekilme prosedürü.

PD'nin işlenmesini ve korunmasını düzenleyen yönetmelik

Bu nedenle, operatör (gerekirse) kişisel verilerin işlenmesi için onay almıştır - kişisel veriler işlenebilir. Ancak, göre İş Kanunu ve FZ-152 kişisel verilerin saklanması, işlenmesi ve korunması prosedürünü düzenleyen bir hükmün geliştirilmesi (varsa, Federal Kanuna göre sonuçlandırılması) gereklidir. Geçici olarak diyelim Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik. Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluşun dahili (yerel) bir belgesidir. katı form bu belge hayır, ancak gereksinimleri karşılaması gerekir TC ve FZ-152, ve bu nedenle şunları içermelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanır ve başkanın talimatı ile yürürlüğe konulur. İşveren, çalışana imza karşılığı Yönetmelikler hakkında bilgi vermekle yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ayrıca, yayınlamak için gerekli PD işlemeye kabul edilen kişilerin listesi, yani gerçekleştirmek için PD'ye erişmesi gerekenlerin (pozisyona göre) listesi resmi görevler. Her şeyden önce, bunlar personel servisinin çalışanlarıdır, çünkü hem çalışan hem de muhasebe departmanı çalışanları hakkında veri toplar ve oluştururlar. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir - ve bu da listeye yansıtılmalıdır. Ancak, hepsinin herhangi bir veriyi değil, yalnızca belirli görevleri yerine getirmek için gerekli olanları talep etme hakkı vardır. emek fonksiyonları(örneğin, vergi avantajlarını hesaplamak için, muhasebe departmanı çalışanla ilgili tüm bilgileri değil, yalnızca bakmakla yükümlü olduğu kişilerin sayısıyla ilgili verileri alacaktır). Bu nedenle, bir liste yazmanız önerilir. bilgi kaynakları kullanıcıların erişmesine izin verilir.

Kişisel verilerin işlenmesine kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmelik eki şeklinde düzenlenebilir veya ayrı belge yönetici tarafından onaylanmıştır.

Roskomnadzor bildirimi

Ayrıca, uyarınca Madde 22 FZ-152 operatör, kişisel verilerin işlenmesinden önce, PD konularının (bugün Federal İletişim, Bilgi Teknolojileri ve Kitle İletişim Denetleme Hizmeti (Roskomnadzor)) haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür. öngörülen durumlar dışında, PD'yi işleme niyeti Madde 22 FZ-152'nin 2. Kısmı:

Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

1) işletmeci ile iş ilişkileri ile ilişkilendirilen kişisel veri sahiplerine ilişkin;

2) kişisel verilerin dağıtılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmemesi ve kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan ve işletmeci tarafından yalnızca söz konusu sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için kullanılması;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve Rusya Federasyonu mevzuatına uygun olarak hareket eden ilgili kamu kuruluşu veya dini kuruluş tarafından, kurucu belgelerinde öngörülen meşru hedeflere ulaşmak için işlenen, kişisel olması koşuluyla; kişisel veri sahiplerinin yazılı onayı olmadan veriler dağıtılmayacaktır;

4) kamuya açık kişisel veri olması;

5) kişisel veri konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) kişisel verilerin konusunun operatörün bulunduğu bölgeye tek geçişi veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde yer alan;

8) Rusya Federasyonu'nun federal yasalarına veya diğer düzenleyici yasal düzenlemelerine uygun olarak otomasyon araçları kullanılmadan işlenir ve bunlar işlenirken kişisel verilerin güvenliğini sağlamak ve kişisel veri konularının haklarını gözetmek için gereklilikler oluşturur.

Bildirim gereksinimleri, 22 FZ-152 maddesinin 3. bölümü. Kişisel verilerin (işleme niyetinin) işlenmesine ilişkin bildirim formu elektronik olarak Roskomnadzor web sitesinde doldurulabilir: http://pd.rsoc.ru/operators-registry/notification/form/

Artık kişisel verileri işlemeye başlayabilir, aynı anda en karmaşık ve sorunlu konu -Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgileri korumaya yönelik önlemler zaman alıcıdır ve aşağıdaki ihtiyaçlardan dolayı önemli finansal maliyetlere yol açabilir:

(gerekirse) Rusya FSTEC'inin gizli bilgilerinin teknik koruması için bir lisans almak;
ISPD'yi korumak için bir sistem oluşturmak ve / veya bilgi güvenliği gereksinimlerine göre sertifikalandırmak için faaliyetler yürütmek üzere Rusya FSTEC'in lisans sahibini dahil etmek;
bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konularında ileri eğitim kurslarına göndermek ve/veya bilgi güvenliği uzmanları işe almak;
FSTEC sertifikalı bilgi güvenliği araçlarını (SrZI), FSB sertifikalı araçları kurun kriptografik koruma ISPD sınıfına bağlı olarak bilgi (SKZI).

Kendiniz bir şeyler yapabilirsiniz, ancak bir yerde uzmanlara güvenmek daha iyidir. Ancak kişisel verilerin bir şekilde korunması gerekir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler"
15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin düzenlemeler"
6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Biyometrik kişisel verilerin ve bu tür verilerin kişisel veri bilgi sistemleri dışında depolanması için teknolojilerin maddi taşıyıcıları için gereklilikler"
Rusya Devlet Teknik Komisyonu'nun 30 Ağustos 2002 tarih ve 282 sayılı emriyle onaylanan gizli bilgilerin (STR-K) teknik korunması için özel gereksinimler ve öneriler (DSP)
15 Şubat 2008 tarihli kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli (Özet, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanallarından bilgi sızıntısı tehditleri göz önüne alındığında), bu belgenin tam sürümünü uygulamak için gerekli - DSP)
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik fiili tehditleri belirleme metodolojisi ("Resmi kullanım için" işareti 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin öneriler ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
Organizasyonun ana faaliyetleri ve teknik Destek 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliği ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
yönergeler otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin kriptografik araçlar yardımıyla güvenliğini sağlamak. FSB, 21 Şubat 2008
Tipik gereksinimler kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için kullanılıyorsa, devlet sırrı oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış şifreleme (kriptografik) araçlarının düzenlenmesi ve işleyişinin sağlanması hakkında. FSB, 21 Şubat 2008

ISPD'de işlenirken PD'nin güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların birçoğu vardır ve bunlar büyük ölçüde belirli ISPD'ye bağlıdır. Sık sık ana noktalar üzerinde duralım zahmetli operatörlerde.

Lisans - almak ya da almamak?

Mevzuat ve FSTEC belgeleri bize şunları söyler:

Madde 16, bölüm 6 FZ-149 27 Temmuz 2006 tarihli "Bilgi, bilgi teknolojileri ve bilgi koruması hakkında":

Federal yasalar, cihazların kullanımına kısıtlamalar getirebilir. belirli fonlar bilgi koruma ve uygulama belirli türler bilgi koruma alanındaki faaliyetler.

Federal Yasa-128'in 17. Maddesi, 1. Kısmı, 11. Maddesi 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasa uyarınca lisanslamaya tabidir aşağıdaki türler faaliyetler: gizli bilgilerin teknik olarak korunmasına yönelik faaliyetler.

504 Sayılı Rusya Federasyonu Hükümeti Kararnamesi 15 Ağustos 2006 tarihli "Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Üzerine"

Gizli bilgilerin teknik olarak korunması, teknik kanallar da dahil olmak üzere yetkisiz erişime ve ayrıca bu bilgileri yok etmek, çarpıtmak veya erişimi engellemek için bu tür bilgiler üzerindeki özel etkilerden korunması için bir dizi önlem ve (veya) hizmet olarak anlaşılır. BT.

Ana olaylar… FSTEC
Madde 3.14

128 Sayılı “Belirli Faaliyet Türlerinin Lisanslanması Hakkında” Federal Kanun hükümleri ve 504 Sayılı “Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Hakkında” Hükümet Kararnamesi gereklilikleri uyarınca, ISPD operatörleri güvenliği sağlamak için önlemler alırken ISPD 1 , 2 ve 3 (dağıtılmış sistemler) sınıflarında işlenmeleri sırasında PD (gizli bilgiler) Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerde bulunma lisansı yerleşik düzene göre.

Ayrıca lisans gerekliliği ile ilgili soruyu da yanıtladı Rusya FSTEC Bölüm Başkanı NAZAROV Igor Grigorievichüzerinde yuvarlak masa"Connect! World of Communication" dergisi tarafından yürütülen (http://www.connect.ru/article.asp?id=9406):

Soru: ISPD'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik korunması için bir lisans almaları gerekiyor mu?

Igor Nazarov: FSTEC belgelerine göre, sınıf 1, 2 bilgi sistemleri ve sınıf 3 coğrafi olarak dağıtılmış sistemler üzerinde bağımsız olarak bu tür faaliyetleri yürüten PD operatörleri için bir lisans gereklidir, kural olarak bunlar büyük devlet bilgi sistemleridir. Aynı zamanda 3. ve 4. sınıf ISPD'ye sahip poliklinikler, kreşler, eczaneler vb. için bu tür ruhsatların alınması gerekli değildir.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD operatörü yetkili bir kişi ile bilgi koruma (PD) açısından ilgili önlemleri almak için bir anlaşma yaparsa - şirketin lisans sahibi Rusya'nın FSTEC'i, lisans almasına gerek yok.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak (ISPD'yi korumak için bir sistem oluşturmak, sertifikalandırma) için TZKI için bir FSTEC lisansı almak yerine, FSTEC'den bir lisans sahibi çekmek daha uygun maliyetli olacaktır, gerekli tüm işleri kim yapacak.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.) kendileri için bir lisans almak ve gerekli tüm işleri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerin yürütülmesi için lisans verilmesi prosedürü tanımlanmıştır " Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler” (15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır). Lisans almak için gerekenler:

a) lisans adayının (lisans sahibi) durumunda, daha yüksek uzmanlığa sahip uzmanların varlığı; profesyonel eğitim bilginin teknik korunması veya yüksek veya orta mesleki (teknik) eğitim alanında ve bilginin teknik korunması konularında yeniden eğitim veya ileri eğitim almış olanlar;

b) lisans başvurusunda bulunan kişinin (lisans sahibi), Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan bilgilerin teknik korunmasına ilişkin teknik standartları ve gereklilikleri karşılayan lisanslı faaliyetlerin uygulanması için tesislere sahiptir ve sağda kendisine aittir. mülkiyet veya başka bir şekilde yasal dayanak;

c) herhangi bir yasal temelde, Rusya Federasyonu mevzuatına uygun olarak geçen üretim, test ve enstrümantasyon ekipmanının varlığı metrolojik doğrulama(kalibrasyon), işaretleme ve sertifikalandırma;

d) kullanmak otomatik sistemler Rusya Federasyonu mevzuatına uygun olarak uygunluk değerlendirme prosedürünü geçen (onaylanmış ve (veya) bilgi güvenliği gerekliliklerine göre onaylanmış) bu tür bilgilerin korunmasının yanı sıra gizli bilgilerin işlenmesi;

e) lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların, hak sahipleri ile yapılan bir anlaşma temelinde kullanılması;

f) Federal Teknik Servis tarafından oluşturulan listeye uygun olarak bilgilerin teknik korunmasına ilişkin düzenleyici yasal düzenlemelerin, düzenleyici, metodolojik ve metodolojik belgelerin mevcudiyeti ve ihracat kontrolü.

SZPDn oluşturma aşamaları

Göre Ana aktiviteler FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin organizasyonu ve teknik güvenliği için bir kişisel veri koruma sisteminin (PSPD) oluşturulması aşağıdaki adımlardan oluşur:

1. Proje öncesi aşama

1.1 Bilgilendirme nesnesinin denetimi:

ISPD'de PD işleme ihtiyacının belirlenmesi;
korunacak PD listesinin belirlenmesi;
kontrollü bölgenin (KZ) sınırlarına göre ISPD'nin konumu için koşulların belirlenmesi;
ISPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve bireysel bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
korunan ISPD'de kullanılan teknik araçların ve sistemlerin, yerlerinin koşullarının belirlenmesi;
korumalı ISPD'de kullanılan sistem çapında, özel ve uygulama yazılımlarının tanımı;
ISPD'de bir bütün olarak ve bireysel bileşenlerde bilgi işleme modunun belirlenmesi;
ISPD'nin sınıflandırılması;
personelin bilgilerin işlenmesine (tartışma, iletim, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
bilgi güvenliğine yönelik güvenlik açıkları ve tehditlerin bir listesinin belirlenmesi ve derlenmesi, tehditlerin bilgi güvenliğine uygunluğunun değerlendirilmesi;
özel bir tehdit modelinin geliştirilmesi.

1.2 için görev tanımının geliştirilmesi CPAP'nin oluşturulmasışunları içermelidir:

SZPDn geliştirme ihtiyacının doğrulanması;
teknik, programatik, bilgilendirici ve organizasyonel yönlerden ISPD'nin ilk verileri;
ISPD sınıfı;
SDPD'nin geliştirileceği ve ISPD'nin faaliyete geçirileceği dikkate alınarak düzenleyici belgelere bir bağlantı;
SPPD için önlemlerin ve gereksinimlerin somutlaştırılması;
kullanılması amaçlanan sertifikalı bilgi koruma araçlarının bir listesi;
piyasada bulunan sertifikalı bilgi güvenliği araçlarını kullanmanın imkansız veya uygunsuz olması durumunda kendi bilgi güvenliği araçlarının geliştirilmesi için gerekçe;
SPPD'nin geliştirilmesi ve uygulanması aşamalarındaki çalışmaların bileşimi, içeriği ve zamanlaması.

2. SPPD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel için izin verilen bir erişim sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve konfigürasyonu;

2.6 bilgi güvenliği araçlarının işletilmesinden sorumlu birimlerin ve kişilerin belirlenmesi, atanmış kişilerin PD'nin korunmasına ilişkin çalışmaların özellikleri konusunda eğitimi;

2.7 ISPD ve bilgi güvenliği araçları için operasyonel dokümantasyonun yanı sıra bilgi güvenliği için organizasyonel ve idari dokümantasyonun (yönetmelikler, emirler, talimatlar ve diğer dokümanlar) geliştirilmesi;

2.8 bilgileri korumaya yönelik diğer tedbirlerin uygulanması.

3. CPAP'nin uygulanma aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için bilgi güvenliği araçlarının diğer donanım ve yazılımlarla birlikte denenmesi;

3.2 bir kabul sertifikasının yürütülmesi ile deneme çalışmasının sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimleri için sertifika (beyan).

4. Bakım onarım ve bilgi güvenliği sisteminin bakımı

PD'nin korunması için organizasyonel ve idari belgeler

Dışında teknik çözümler Oluşturulan kişisel veri koruma sisteminin, işletmeci, ISPD'de işlenmesi ve PDPD'nin işletilmesi sırasında PD'nin güvenliğini sağlamak için ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür birçok belge var, ana olanlar:

1. PD güvenliğinin sağlanmasına ilişkin yönetmelik- makalenin başında, bu belgenin amacına ve bileşimine zaten değindik. Her ihtimale karşı, tekrar edelim - şunu belirtmelidir:

kişisel verilerin korunması alanındaki amaç ve hedefler;
kişisel verilerin kavramı ve bileşimi;
bu verilerin hangi yapısal birimlerde ve hangi ortamda (kağıt, elektronik) biriktiği ve depolandığı;
kişisel verilerin nasıl toplandığı ve saklandığı;
nasıl işlendiği ve kullanıldığı;
firma içinde kimlerin (pozisyona göre) bunlara erişimi var;
yetkisiz erişim dahil olmak üzere PD koruma ilkeleri;
çalışanın kişisel verilerinin korunmasını sağlamak için hakları;
çalışanların kişisel verileriyle ilgili gizli bilgilerin ifşa edilmesi sorumluluğu.

2. ISPD'de PD ile çalışmak üzere kabul edilen kişilerin kabulü ve muhasebesi için bir sistem düzenlemek, - PD işlemeye kabul edilen kişilerin listesi(resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin bir listesi) ve Erişim Matrisi(kullanıcıların ISPD'nin belirli bilgi kaynakları - okuma, yazma, güncelleme, silme - ile ilgili belirli eylemleri gerçekleştirme yetkilerini yansıtmalıdır. Her iki belge de başkan tarafından onaylanır.

3. Özel tehdit modeli(birkaç ISPD varsa, her biri için bir tehdit modeli geliştirilir) - bir ön anketin sonuçlarına göre geliştirildi. Rusya'nın FSTEC teklifleri temel model Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditler, buna göre özel bir model oluşturulurken aşağıdakiler dikkate alınmalıdır:

teknik kanallardan bilgi sızıntısı tehditleri;
ISPD'ye erişimi olan, tehditleri doğrudan ISPD'de uygulayan ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlalciler olarak değerlendirmek gerekir;
ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli yönetici tarafından onaylanır.

4. Onaylanmış modele göre ISPD tehditleri geliştirmek gerekiyor ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamak için gereklilikler. Tehdit modeli gibi gereksinimler, bağımsız belge, kuruluş başkanı tarafından onaylanması gerekir.

Bir tehdit ve gereksinim modeli geliştirmek için operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. Talimatlar ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlama açısından.

Ayrıca, PD'yi korumak için tüm önlemleri almadan önce, operatör bir yetkili veya (PDIS yeterince büyükse) atamalıdır. yapısal alt bölüm PD'nin güvenliğini sağlamaktan sorumludur. Atama kararı verildi emriyleÖnder. PD'nin güvenliğini sağlamaktan sorumlu yetkilinin (departmanın) görev, işlev ve yetkileri, iç organizasyonel ve idari belgelerle belirlenir ( iş tanımları, yönetmelikler).

Sertifika almak için neler gereklidir, neler değildir?

Her şeyin kullanıldığı çoğu zaman yanlış anlaşılır. yazılım(yazılım) sertifikalandırılmalıdır ve sertifikalandırma pahalı ve zaman alıcıdır.

Ancak, PD koruması konularını düzenleyen belgelerin hiçbiri neyin sertifikalandırılması gerektiğini söylemiyor. tüm yazılımlar. Bilgi güvenliği araçları, Rusya'nın FSTEC gereksinimlerine göre sertifikalandırılmalıdır, ancak ISPD'nin korunmasına dahil olmayan sistem, uygulama veya özel yazılımlar için onaylanmamalıdır.

Igor Nazarov: … NDV endişelerinin yokluğunun kontrolü için sertifika güvenlik işlevi, yani koruma araçları ve bilgi sisteminde kullanılan tüm yazılımlar değil (http://www.connect.ru/article.asp?id=9406).

Bugün web sitesinde görüntülenebilen FSTEC belgeleri Federal Hizmet teknik ve ihracat kontrolü konusunda bize bu konuda şunları söylüyorlar:

ISPD'de sadece bilgi güvenliği gerekliliklerine göre sertifikalandırılmış teknik araçlar ve koruma sistemleri kullanılmalıdır.

Ana olaylar…

Madde 4.2: ... ISPD'de, yazılım ve bellenimde bildirilmemiş yeteneklerin varlığı ve sistem ve uygulama yazılımının güvenliğinin analizi için kontrol yapılmalıdır.

Madde 4.3: Yazılım için, bilgilerin korunmasında kullanılan ISPD'de (genel sistem ve uygulama yazılımında yerleşik olanlar da dahil olmak üzere bilgi güvenliği araçları), içinde NDV'nin yokluğu üzerinde uygun bir kontrol düzeyi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmazsa sistem ve uygulama yazılımının sertifikalandırılması gerekli değildir - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma uygulaması, kullanılmasının gerekli olduğunu göstermektedir. lisanslı yazılım(sistem, uygulama ve özel yazılım) ve sertifikalı bilgi güvenliği ve anti-virüs koruması araçları(bunlar NSD'den SrZI, anti-virüs ürünleri, güvenlik duvarları, izinsiz giriş tespit araçları, belirli bir sınıfa karşılık gelen güvenlik analiz araçları olabilir). ISPD ayarlarsa bilgi korumanın kriptografik araçları (CIPF), daha sonra Rusya'nın FSB'sinin gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı CIPF yükleme hakkına sahip olduğu ve FSB lisans sahibinin CIPF yükleme hakkına sahip olduğu belirtilmelidir.

sertifika

ISPD'yi korumak için bir sistem oluşturmanın son adımı, sertifikalandırma (uygunluk beyanı) olmalıdır - bunun sonucunda bir dizi organizasyonel ve teknik önlem, özel belge- Uygunluk sertifikası (Sonuç), ISPD'nin bilgi güvenliği ile ilgili standartların veya diğer düzenleyici ve metodolojik belgelerin gerekliliklerine uygun olduğunu onaylar. Geçerli bir Uygunluk Onayının varlığı, Uygunluk Onayı'nda belirtilen süre boyunca bilgileri uygun gizlilik düzeyiyle işleme hakkı verir.

Soru: İş yerlerinin yasal gerekliliklere ve mevzuata uygunluğunu kimler onaylayabilir? normatif belgeler kişisel veriler alanında?

Igor Nazarov: Bilgi güvenliği gerekliliklerine uygunluk için ISPD sertifikası, gizli bilgilerin teknik korunması için lisansa sahip FSTEC lisans sahipleri tarafından gerçekleştirilebilir (http://www.connect.ru/article.asp?id=9406).

Sertifikasyon, benimsenen koruma önlemleri setinin gerekli PD güvenliği düzeyine uygunluğunu değerlendirmek için gerçek çalışma koşullarında ISPD'nin kapsamlı bir kontrolünü (sertifikasyon testleri) sağlar.

AT Genel görünüm Bilgi güvenliği gereksinimleri için ISPD sertifikası aşağıdaki adımları içerir:

sertifikalı ISPD'ye ilişkin ilk verilerin analizi;
ISPD'nin uzman incelemesinin yapılması ve düzenleyici ve metodolojik belgelerin gerekliliklerine uygunluk için PD'nin güvenliğini sağlamak için geliştirilen belgelerin analizi;
güvenliği yetkisiz erişime karşı izlemek için özel kontrol ekipmanı ve yazılım araçları kullanarak gerçek çalışma koşullarında ISPD'nin karmaşık sertifikasyon testlerini gerçekleştirmek;
karmaşık tasdik testlerinin sonuçlarının analizi, tasdik sonuçlarına dayalı olarak Sonuç ve Uygunluk Belgesinin yürütülmesi ve onaylanması.

Önemli olan nokta şu ki koşullarda ve işleme teknolojisinde değişiklik olması durumunda PD işleticisi, bunu ISPD sertifikasyonunu gerçekleştiren lisans sahibi kuruluşa bildirmekle yükümlüdür. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek doğrulama ihtiyacına karar verir.

Yasanın gerekliliklerine uymama sorumluluğu ve riskleri

PD güvenliğinin sağlanmasına ilişkin gerekliliklerin yerine getirilmemesi durumunda, işletmeci müşterilerden veya çalışanlardan hukuk davası açma riskleri ile karşı karşıya kalabilir.

Bu da şirketin itibarını etkileyebilir ve ayrıca PD işleminin zorunlu olarak askıya alınmasına (fesih) yol açarak şirketi ve (veya) başkanını idari veya diğer türde sorumluluklara sokar ve eğer belirli koşullar- lisansların askıya alınması veya iptali. Ek olarak, Federal Yasaya göre, gereklilikleri ihlal etmekten suçlu bulunan kişiler, Rusya Federasyonu mevzuatı tarafından öngörülen medeni, cezai, idari, disiplin ve diğer sorumluluklara sahiptir ( Madde 24 FZ-152):

Disiplin (Rusya Federasyonu İş Kanunu, maddeler 81, 90, 195, 237, 391);
İdari (Rusya Federasyonu Kanunu idari suçlar, makaleler 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Ceza (Rusya Federasyonu Ceza Kanunu, 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Ve sonuç nedir?...

Artık pek çok kişi, günümüz mevzuatının ve düzenleyici ve metodolojik belgelerin birçok yanlışlık ve hatta bazı açılardan aşırılıklara sahip olduğunu söylüyor.

Birçoğu, Aralık 2009'da FZ-152'nin gerekliliklerini yerine getirmek için son tarihlerin Ocak 2011'e kadar uzatılmasına karar verildiğini umuyor.

Ancak bundan bağımsız olarak, kişisel verilerin korunması ihtiyacı devam etmektedir.

Dolayısıyla bu sorunun çözümünü sonsuza kadar ertelememelisiniz ve artık kişisel verilerin güvenliğini sağlamak için gerekli önlemleri almanız gerekiyor.

Taraflar arasında yazılı bir anlaşma olmaksızın kuruluşlarla işbirliği düşünülemez. bir anlaşma olmadan. Son paragrafı kişisel verilerinizin ilgili kuruluşun veri tabanında kullanılması ve saklanması konusunda mutabık kaldığınız bir sözleşmeye ne sıklıkla girdiniz?

Sevgili okuyucular! Makale tipik çözümlerden bahsediyor Yasal sorunlar ama her vaka bireyseldir. nasıl olduğunu bilmek istersen tam olarak problemini çöz- bir danışmanla iletişime geçin:

BAŞVURULAR VE ARAMALAR 7 gün 24 saat KABUL EDİLMEKTEDİR..

hızlı ve BEDAVA!

Bir anlaşma imzaladıktan veya örneğin kredi kuruluşlarıyla kısa bir işbirliğinden sonra, diğer şirketlerden telefonlar aldıysanız ve benzer nitelikte hizmetler sunduysanız, kişisel verilerinizin ifşa edildiğinden ve haklarınızın ihlal edildiğinden emin olun.

Kısa inceleme

Rusya Federasyonu vatandaşları hakkındaki bilgiler, bireylerin kişisel verilerine atıfta bulunur ve aynı adı taşıyan kanunla korunur. Ayrıca kişisel veriler kanunu, bir kişinin tüm hak ve özgürlüklerini, onun hakkındaki kişisel bilgilere ilişkin çıkarlarını nedensel bir ilişki içinde korur. Çıkarlarınızı, haklarınızı ve özgürlüklerinizi korumak ve ihlal etmemek için hakkınızdaki bilgileri nasıl korursunuz.

Kanun, kişisel verilerin toplanmasına, işlenmesine, saklanmasına ve saklanmasına ilişkin kuralları belirler ve denetler. olası transfer. Kişisel bilgilerin paylaşılabileceği veya kişisel bilgilerin elde edilemediği durumlar hakkında bilgi içerir, ör. Kişi bunu açıklamama hakkını saklı tutar.

Federal Yasa 152, 23 Ocak 2007'den beri tam olarak yürürlüktedir. Bu tarihten önce, kişisel verilerin alınması, saklanması ve aktarılması ile ilgili kurallar oluşturacak ve bunların uygulanmasını kontrol edecek ilgili bir kanun bulunmadığından, kişilerin kişisel verileri fiilen korunmuyordu.

Kanun, kişiler hakkında bilgi alan ve gerektiğinde yetkili organlara aktaran işletmecilerin hak ve yükümlülüklerini açıklar.

Mevcut belirli gereksinimler kişisel verilerin işlenmesine, kanunda da bulunabilirler.

Bir kişinin kişisel verileriyle ilgili her türlü bilgi, işletmeci tarafından ancak kişinin kendisinin muvafakati ile kabul edilebilir ve işlenebilir. Ancak, öznenin izninin gerekli olmadığı durumlar vardır. Bu istisnalar kanunda açıklanmıştır.

İhlal için sorumluluk

Kişisel verilerin güvenliği, bilgilerin doğru toplanması, üçüncü şahıslara aktarılması ve ayrıca çalışanın kişisel verilerinizi sakladığını kişiye kendisinin bildirmesi, kuruluşta sorumlu kişi tarafından sağlanır, bu bir çalışan olabilir. personel departmanı veya operatör de dahil olmak üzere belirlenmiş diğer herhangi bir kişi.

Operatör (muhasebeci, insan kaynakları görevlisi, banka memuru veya diğer atanmış kişi) bilgi sızdırdıysa veya bilgi yanlışlıkla ifşa edildiyse, bu bilgilerin konusu değil, bundan kendisi sorumludur.

Kişisel veri kanununu ihlal cezası, kişisel verileri alan çalışana ve/veya verilerin sızdırıldığı kuruluşa para cezası şeklinde olabilir.

Bilginin ifşası cezası, bu hatayı yapan kişiye bir kez değil, her sızıntı vakasına uygulanır. Ortalama olarak, para cezası 500 ila 1000 ruble arasında değişmektedir. operatörden veya 5.000 ila 10.000 ruble arasında. kuruluştan.

Belgelerin yıllık olarak gözden geçirilmesi, her biri para cezasına çarptırılacak ve tüzel kişiye kuruluşun bütçesinden önemli miktarda mal olacak çok sayıda ihlali ortaya çıkarabilir.

Tüzüğüne uygun olarak idari ihlaller bir tüzel kişiliğin personel veya müşterilerin kişisel verileri hakkında bir Yönetmeliği yoksa, iş kanununun ihlali durumunda kuruluş idari olarak sorumlu tutulabilir. Bu durumda, götürü para cezalarının miktarı çok daha yüksek olacaktır.

Ayrıca gerekli tüm durumlar netleşene kadar 3 takvim ayına kadar şirketin çalışmaları durdurulabilir.

Kişisel verilere ilişkin kanunun uygulanmasını denetleyen yetkili organ Roskomnadzor'dur. Bu devlet organının talimatlarına uyulmaması durumunda, işletmeye 20.000 ruble para cezası verilebilir. Roskomnadzor'un kişisel veriler talebini dikkate almamak, kuruluşa 5.000 rubleye mal olacak.

Kişisel veriler üzerinde çalışmaktan sorumlu olarak atanan bir operatör, idari, disiplin, maddi, hukuki ve hatta cezai olarak sorumlu tutulabilir.

1 Ocak 2019 tarihinden itibaren kişisel verilere ilişkin kanunun temel hükümleri yorumlarla birlikte

152 Sayılı Federal Kanunda yeni baskı Rusya Federasyonu vatandaşları ile ilgili tüm kişisel verileri Rusya'da bulunan sunucularda saklamakla yükümlüdür.

Vatandaşların kişisel verileriyle çalışan operatörler, uygun kayıtları tutmalı, bilgi toplamalı ve gerekirse yalnızca Rusya Federasyonu topraklarında toplanan bilgilerle desteklemeli ve ayrıca yalnızca Rusya Federasyonu topraklarında depolamalıdır.

Pratik olarak Rusya dışında bulunabilecek bilgilerin kullanılması kesinlikle yasaktır, yani. Rusya dışında bulunan kaynaklardan alınmıştır. İnterneti kullanırken bile, bu siteler Rusya topraklarında tutulmuyorsa, bir kişinin kişisel verilerini yabancı sitelerden gelen bilgilerle desteklemek mümkün değildir.

Roskomnadzor, yasaları ihlal ederek sitenizi engelleyebilir veya kara listesine ekleyebilir. Her ihlal durumu mahkeme kararı ile bireysel olarak değerlendirilir. Ayrıca, kişiyle iletişime geçmeniz ve operatörden yasal işlem yardımı ile ret almanız durumunda kişisel verilerinizi silebilirsiniz.

Bu kanuna göre, bir kişinin kişisel verileri, bir kişiye ilişkin herhangi bir şekilde onunla ilgili her türlü bilgiyi içerir veya kesinlikle içerebilir. Son revizyon hukuk bu noktayı vatandaşlara kişisel verilerin sadece kendi Ad Soyad, doğum tarihi ve kayıtlı adres.

Vatandaşların kişisel verileri gizli bilgi olarak sınıflandırılmaktadır. Müşterilerin adlarını, çalıştığı şirketlerin ayrıntılarını, yazışmalarında birinin posta kodunu vb. doğrudan veya dolaylı olarak kullanan herhangi bir kuruluş, bu verilerin tam güvenliğini sağlamalıdır, yani. şifreleme veya başka yollarla bir koruma sistemi sağlamak.

Bunun olmaması durumunda, şartlar netleşene kadar şirket para cezasına çarptırılma veya kapatılma riskiyle karşı karşıyadır.

Ek olarak, 152 sayılı Federal Kanun, operatörlerin kişisel verileri kullanırken kişinin onayını almalarını zorunlu kılmaktadır. bu prosedür.

152 sayılı kanunda yer almayan şirketler tarafından kişisel verilerin korunmasını sağlamanın yolları:

veri merkezleri inşa etmek (yüksek uygulama maliyeti nedeniyle küçük kuruluşlar bu prosedürü karşılayamaz);
kişisel bilgilerin duyarsızlaştırılması (gerekirse konudan ayrı veriler, veriler Rusya Federasyonu topraklarına iade edilir ve sahipleriyle birleştirilir);
yabancı bir sunucunun konumunu gizlemek, istemciler hakkındaki bilgileri çoğaltmak ve yabancı sunuculara göndermek;

Video: Neden ihtiyacın var?

Ne zaman başvurulur

Kanun, kişisel verilerinin işlenmesi gerçekleştirilirken kişilerin korunması amacıyla uygulanır. Kanun ayrıca, hakkınız olan mahremiyetinizin, kişisel sırlarınızın veya ailenizin sırlarının etkilenebileceği durumlarda da geçerlidir.

Federal Kanun 152, bir kişinin kişisel verilerinin başka kişiler tarafından yalnızca kişisel amaçlar, yani kar amacı gütmeden veya zenginleştirme amacıyla. için kişisel verilerin kullanılması arşiv fonları ayrıca bir ihlal değil. Hakkınızdaki bilgiler devlet sırrı olarak sınıflandırılıyorsa, bu yasa seni korumaz.

kişisel veri nedir

Tam adınız, doğum tarihiniz, ikamet yeriniz, aldığınız tüm krediler, tüm evlilikleriniz vb. dahil olmak üzere sizinle veya faaliyetlerinizle doğrudan veya dolaylı olarak ilgili tüm bilgiler, bir kişinin kişisel verileridir. kişi.

ilişkiler ne işe yarar

Kanun, vatandaşların kişisel verilerini çalışmalarında kullanan kişiler ve tüzel kişiler arasındaki çalışma kurallarını belirler. Yasanın görevi, bir kişinin kişisel verilerinin ifşa edilmesini önlemektir, çünkü bu, vatandaşların hak, özgürlük ve çıkarlarının ihlaline yol açabilir.

Uygulamada, örneğin bir banka gibi bir kuruluşun kişisel verilerinin işlenmesine ve saklanmasına izin verirseniz, bu verileri yalnızca belirli bir bankanın bankacılık işiyle ilgili işlerde kullanmasına izin vermiş olursunuz, çünkü birlikte olduğunuz için bu kuruluş yalnızca bir kredi ilişkisinde veya örneğin bir kredide.

Bankanın kişisel verilerinizi diğer bankalara aktarma hakkı var mı - hayır, bankanın böyle bir ihlali Federal Yasa 152 uyarınca kabul edilemez ve operatörler ve tüzel kişiliğin cezai sorumluluğunu tehdit ediyor.

Bilgilerin üçüncü kişilere aktarımı ancak kişinin yazılı onayı ile gerçekleştirilebilir.

Her şeyden önce, yasa alınan bilgilerin işlenmesi sürecini düzenler. Devlet yetkilileri, belediye yetkilileri ve özel girişimciler, kuruluşlar veya bireyler tarafından alınabilir.

Federal Kanun 152, müşterilerin kişisel verileriyle çalışan tüm kuruluşların haklarını kesinlikle kısıtlamaktadır. Kanun, onları veritabanlarını korumak için en gelişmiş programları kurmak ve kullanmakla yükümlü kılar. Küçük kuruluşlar ve firmalar, yüksek maliyeti nedeniyle böyle bir lüksü karşılayamazlar.

Bir tüzel kişilik tarafından kişisel verilerinizin kullanımına ilişkin bir sözleşme imzalayarak, belirli iş ilişkilerine bağlı olduğunuz için verilerinizi yalnızca kendi işi için saklamasına ve kullanmasına izin vermiş olursunuz. Kişisel verilerin ifşa edilmesi, sizi hak ve özgürlüklerinizin ihlali ile ve kuruluşu önemli bir para cezası veya cezai sorumlulukla tehdit edebilir.

Kişisel veri operatörleri hakkında epeyce makale yazılmıştır.
Operatörler, korumaya para harcamak zorunda oldukları için çok üzgün kişisel bilgi hepsinin zor bir hayatı olduğunu ve genel olarak her şeyin çok kötü olduğunu.
Öte yandan, kişisel verilerin sahipleri de var ve konuyu bu taraftan ele almayı öneriyorum. 152 Sayılı Federal Kanun kişisel veri sahibine ne sağlar ve meşru menfaatlerini nasıl koruyabilir?
AT bu durum konuşma hakkında olacak ticari kuruluşlar, devlet organları konusu ayrı bir makalenin konusudur.

İşte sahibinin talebi üzerine kişisel veri operatörü için sonuçlara bir örnek:

Hayattan bir örnek: İnternet sağlayıcımın hizmet kalitesi beni bir kez daha üzdü ve kişisel verilerimi yasal olarak nasıl işlediğini görmeye karar verdim. 14. maddeden bilgi talebi içeren bir mektup yazıp çıktısını aldıktan sonra, onlara gittim ve hizmet kalitesi talebiyle birlikte imza için sekretere verdim. Ertesi gün, teknik destek şefi (daha önce onunla konuşamıyordum, değiştirmediler) mutlu bir şekilde her şeyi düzelttiklerini söyledi, bir şey olursa onu şahsen aramam için bana bağlantılarını verdi. yanlış. İnternet o zamandan beri harika çalışıyor.

Kişisel verilerin operatör tarafından ihlal edilmesine bir başka örnek: bir araba galerisinde bir araba satın aldıktan sonra, Almanya'dan bir üreticiden, bir taleple şu ve bu markanın bir arabasını satın aldığımı söyleyen bir mektup aldım. bayilerinin hizmet kalitesini değerlendirmek. Sözleşmeyi imzalarken, herhangi bir yerde verilerimin işlenmesine izin verdiğim, herhangi birine aktarmaya izin verdiğim sözleşme metninde yer almıyordu.
Operatör, işleme amaçlarına ulaştıktan (sözleşme yerine getirildikten sonra) kişisel verilerimi imha etmedi, bu verilerin sınır ötesi aktarımını gerçekleştirdi ve herhangi bir sebep göstermeksizin bilgi sistemlerinde işlemeye devam ediyor (SMS hakkında bilgi içeren). promosyonlar alınır).

Makale okuyucuların ilgisini çekiyorsa, son örnekİhlaller, itiraz formları ve kişisel veri operatörlerine talepleri, Roskomnadzor'a talepleri düzenlemek için adım adım talimatlar göndereceğim, size Roskomnadzor dışında nereye başvurabileceğinizi ve hangi mevzuat maddelerine başvuracağınızı söyleyeceğim.