Bu yazıda, N 152 “Kişisel Veriler Üzerine” Federal Kanun döneminde sıradan bir çevrimiçi işin nasıl yaşanacağını açık ve erişilebilir (mümkünse iyi) açıklamaya çalışacağız. Daha doğrusu, kendinizi bundan nasıl koruyacağınızı anlatacağız.

Bu nedenle, yeni başlayanlar için, belirli bir kişiyi karakterize eden tam adın, telefon numarasının, postanın, adresin ve diğer verilerin olduğunu hatırlamalısınız. kişiye özel. Ve sonuç olarak bile onları elde etmek telefon konuşması, onların işleme. Bu nedenle, kesinlikle herhangi bir ticari web sitesinin faaliyeti yeni harika yasa kapsamına girer. Yaşasın yoldaşlar.

Neden korkuyorsun?

01 Temmuz 2017'den bu yana, Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinde, kişisel veriler alanındaki mevzuat ihlallerinin yeni unsurları ortaya çıktı (1 idi, 7 oldu).
Para cezası miktarı 10.000 ruble'den 290.000 ruble'ye yükseldi. En büyük boy para cezaları, Sanatın 1 - 6 paragrafları kapsamındaki tüm gereklilikleri kesinlikle ihlal edenleri tehdit eder. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Bu oldukça zor, ancak daha fazlası aşağıda.

Kim ceza alacak?

Operatörler, yani kişisel verileri toplayanlar da dahil olmak üzere işleyenler para cezasına çarptırılacaktır. Bir ad ve telefon numarası (veya e-posta) için basit bir istek zaten işleniyor.
Kişisel verileri işlediğinizi doğrulamak için Roskomnadzor'un yalnızca web sitenizde bir geri bildirim formu görmesi, bir bültene abone olması veya kaydolma yeteneği olması gerekir. kişisel hesap. Bu durumlarda, yasalara tabi olursunuz ve geçmiş kontrolüne tabi olabilirsiniz.
Bu nedenle, Savunucuyu N 152 Federal Yasasından yaptık.

Callibri.ru'nun müşterisiyiz, nasıl yasal olunur?

Federal Yasa 152'den Savunucu - hem sizin hem de işimizin Federal Yasa N 152'nin gerekliliklerine tam olarak uyması için belge oluşturma sistemi.

İşte yapılması gerekenler:

İşte böyle görünüyor:

Önemli!

Hepsi bu mu? Şimdi 290 tr'ye bağlı kalmayacak mıyım?

Tam olarak değil. Koruyucu yalnızca şu durumlarda çalışır:

• veri toplama yöntemleri, ayarlarda seçtiğiniz yöntemlerden farklı değildir;
• veri toplama amaçları, ayarlarda seçtiğinizden farklı değildir;
• toplama ve işleme için Callibri.ru dışındaki hizmetleri kullanmazsınız.

Diğer tüm durumlarda, sorun yaşayabilirsiniz. Aşağıda onlar hakkında.

Kişisel verileri toplayan diğer hizmetleri kullanıyorum. Nasıl yasal olunur?

Her şeyi cehenneme sil. Diğer hizmetlerin 152 sayılı “Kişisel Veriler Hakkında” Federal Yasasının gerekliliklerine uygunluğundan sorumlu tutulamayız. Portföyümüzün ihtiyacınız olan her şeye sahip olması güzel: çağrı izleme, geri arama, çevrimiçi arama, uygulama ve çevrimiçi danışman.
Callibri'yi bağlayın

Ancak diğer hizmetleri ve/veya kişisel verilerinizi işleme amaçlarınızı ve/veya yöntemlerinizi gerçekten kullanmak istiyorsanız farklı Callibri.ru tarafından önerilenlerden, kişisel verilerin işlenmesiyle ilgili belgelerinizi geliştirmek, uygulamak ve Roskomnadzor'un sonuçlarına göre kontrol etmesini ve cezalandırmasını beklemek için harici danışmanları görevlendirmeniz gerekecektir. Ve bu 290 tr'ye kadar.

Defender tam olarak nelerden tasarruf edecek?

İlk olarak, siteniz tüm yasal gerekliliklere uyacaktır (madde 2, bölüm 2, madde 5, bölüm 1, bölüm 2, 152 N sayılı “Kişisel Veriler Hakkında” Federal Yasasının 18.1 maddesi). Bu, inceleme başlatma riskini büyük ölçüde azaltır ve müşterilerinizin gözünde güvenilirliğinizi artırır. İkincisi, Roskomnadzor'un:

• 30.000 rubleye kadar para cezası. Politikaya sınırsız erişim sağlamadığı için (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 3. kısmı).
  Örneğin: Sitede Politika bulunmaması nedeniyle ceza verin.
• 50.000 rubleye kadar para cezası. toplama amaçlarıyla bağdaşmayan kişisel verilerin işlenmesi için.
  Örneğin: teslimat için basit bir tam ad ve adres yeterli olduğunda, malları teslim ediyor ve pasaportunuzun taranmasını istiyorsunuz.

Roskomnadzor'u bizim için bilgilendirir misiniz?

Hayır, yapmayacağız. Bu gereksiz. Tanrı kutsasın. Şimdilik.

Roskomnadzor'u bilgilendirmek neden gerekli değil?

Sanatın 2. bölümüne göre. 22 FZ N 152, operatör bazı durumlarda Roskomnadzor'a haber vermeden kişisel verileri işleme hakkına sahiptir. Hepsini listelemeyeceğiz, ama en önemlisi:
Operatör tarafından kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesi ile bağlantılı olarak, kişisel veriler dağıtılmadığı takdirde alınır ve kişisel verilerin konusunun rızası olmadan üçüncü taraflara verilmez ve tarafından kullanılır. operatör yalnızca yürütme için söz konusu anlaşma ve kişisel verilerin konusuyla anlaşmaların yapılması;
Şunlar. topladığınız ve işlediğiniz kişisel veriler

• kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmeyen;
• yalnızca alındıkları sonuçla bağlantılı olarak sözleşmenin yerine getirilmesi ve kişisel verilerin konusuyla sözleşmelerin yapılması için kullanılır;

Roskomnadzor'a haber vermenize gerek yok!

Ve bir çok insan ihtiyacı olduğunu söylüyor...

Kanun tartışmalıdır, bu konuda vicdansız avukatların birçok görüşü, yorumu ve spekülasyonları vardır. ANCAK adli uygulama henüz değil. Bu yüzden unutmayın: küresel olarak 3 seçeneğiniz var

1. Tamamen yasadışı ol. Burada konuşacağımız bir şey yok. Riskler bu makalede anlatılandan çok daha fazladır;
2. Callibri'den gelen belgeler sayesinde yasal olarak çalışın. Ancak Roskomnadzor'a haber vermeyin;
3. Yasal olarak çalışın ve Roskomnadzor'u bilgilendirin ve kişisel veri operatörlerinin sicilinde görünün.

2. seçeneği öneriyoruz, çünkü bu durumda, zamanınız ve emeğiniz 30 dakika olacaktır (bu makaleyi okumak, anketi doldurmak ve siparişi imzalamak için). ANCAK maksimum para cezası, Roskomnadzor bir şeyi beğenmezse (yani, bildirim eksikliği nedeniyle), 5 bin ruble (tüzel kişiler için) olacaktır.
3. seçenekte, daha fazla çaba ve paraya ihtiyacınız olacak ve olasılık planlanmış muayeneönemli ölçüde büyüyecek.
Bu nedenle FZ N 152 koruma yapıcımızın çoğu işletme için yeterli olacağına inanıyoruz.

Tüm ziyaretçileri çerezlerin işlenmesi konusunda uyarmanız mı gerekiyor?

Burada, her zaman olduğu gibi, iki avukat - üç görüş. Avukatlarımız, çerezlerden elde edilen bilgilerin, kullanıcı hakkındaki diğer bilgilerden ayrı olarak, kendi içinde kişisel veri olmadığına inanmaktadır. Roskomnadzor'un henüz buna dikkat etmediğine dair söylentiler var. Ancak, tamamen sigortalı olmak istiyorsanız, sitenizin geliştiricilerinden şunun gibi bir açılır pencere eklemelerini isteyin: “Çerezlerin işlenmesini kabul ediyorum” (“Tamam” düğmesiyle).

Webvizör kişisel verileri görür. Ne yapalım?

Endişelenme! Yandex tavsiyelerine göre, kişisel veri içerebilecek tüm alanları özel bir sınıfla koruduk. Bu özellik sayesinde web tarayıcısı, kullanıcıların sitedeki formlara yönlendirdiği kişisel verilerini görmeyecektir.

Sözlük

Ve hiçbir sorunuz olmaması için tüm şartları belirlemeye karar verdik.
Kişisel veri- doğrudan veya dolaylı olarak tanımlanmış veya tanımlanabilir herhangi bir bilgi bir bireye(kişisel verilerin konusuna): soyadı, adı, soyadı, yılı, ayı, tarihi ve Doğum yeri, adres, e-posta, telefon numarası, diğer kimlik bilgileri (bkz. Federal Yasa-152, madde 3, 10, 11).

Şu anda kişisel verilerin listesi kapalı değil, verilerin kişisel olup olmadığından şüpheleniyorsanız, açıklama için avukatlarınızla iletişime geçin.

Kişisel verilerin işlenmesi- bu, kişisel verilerin toplanması, kaydedilmesi, sistemleştirilmesi, toplanması, depolanması, aydınlatılması, çıkarılması, kullanılması, aktarılması (dağıtım, erişim sağlanması), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası dahil olmak üzere herhangi bir eylem veya eylemler dizisidir.
Şebeke- bağımsız veya diğer kişilerle birlikte, kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini, eylemleri (işlemleri) belirleyen bir tüzel veya gerçek kişi ) kişisel verilerle gerçekleştirilir.
Kişisel verilerin yayılması- kişisel verilerin belirsiz bir kişi grubuna ifşa edilmesini amaçlayan eylemler.
Kişisel verilerin imhası- kişisel veri bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler.

27 Temmuz 2006 kabul edildi 152-FZ Sayılı Federal Kanun "Kişisel Veriler" mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamak. Bu yasanın kabul edilmesinin nedenlerinden biri, devlet ve ülkelerde kişisel veri tabanlarının çalınmasına ilişkin çok sayıda gerçekti. ticari yapılar, onların yaygın satış.

"Kişisel veriler" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımı da yasanın kabul edilmesinden önce, örneğin, "Gizli bilgiler listesi"nde karşılanmıştır. 188 Sayılı Rusya Federasyonu Cumhurbaşkanı Kararnamesi 6 Mart 1997:

İle kesin bilgi şunları içerir: bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, kişiliğini tanımlamaya izin veren bilgiler ( kişisel veri), medyada yayılacak bilgiler hariç kitle iletişim araçları federal yasaların öngördüğü durumlarda.

Ancak, yasa bunu tamamladı. Şimdi, göre FZ-152, kişisel veri -

Soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu dahil olmak üzere, bu tür bilgilere dayanarak (kişisel verilere konu olan) tanımlanan veya belirlenen bir kişiyle ilgili her türlü bilgi , eğitim, meslek, gelir, diğer bilgiler.

Dolayısıyla kişisel veriler, öncelikle pasaport verileri, medeni hal bilgileri, eğitim bilgileri, TIN numaraları, sigorta sertifikası devlet emeklilik sigortası, sağlık sigortası, hakkında bilgi emek faaliyeti, sosyal ve mülkiyet durumu, gelir hakkında bilgiler. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın belirttiği işverenin personel departmanının verileridir. Kişisel kart, otobiyografi, bir iş sözleşmesinin imzalanmasında doldurulan diğer belgeler.

Bir çocuk bir anaokuluna, okula, enstitüye vb. Eğitim Kurumları Hem çocuğun (örneğin doğum belgesinin verileri) hem de ebeveynlerinin (iş yerine, tutulan pozisyona kadar) verilerini gösteren birçok anket ve form da doldurulur.

Sağlık kurumlarında tedavi görürken, sadece pasaport verilerini değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler ve test sonuçları hakkında bilgileri de belirtmek gerekir. Birçok sağlık kuruluşunda ayakta / yatan hasta kartları çoğaltılmaktadır. elektronik formatta.

Ve tüm bu veriler mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve hiç gerekli mi?

Kişisel verilerin gizliliği - kişisel verilere erişim elde eden bir operatör veya başka bir kişi için, kişisel verilerin sahibinin rızası veya diğer yasal gerekçeler olmadan dağıtılmasına izin vermemesi için zorunlu bir gereklilik ( FZ-152).

Şebeke - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen bir devlet organı, belediye organı, tüzel veya gerçek kişi ( FZ-152).

Kişisel verilerin bilgi sistemi (ISPDn) - Bilgi sistemi veri tabanında yer alan bir dizi kişisel veri ile bu kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine olanak sağlayan bilgi teknolojileri ve teknik araçlardır ( FZ-152).

Kişisel verilerin işlenmesi - bunlar, toplama, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), kullanım, dağıtım (aktarma dahil), duyarsızlaştırma, engelleme, kişisel verilerin imhası dahil olmak üzere PD ile yapılan eylemlerdir (işlemler). FZ-152).

PD'yi işlerken, operatör gerekli tüm organizasyonel ve teknik önlemler kişisel verileri yetkisiz veya yanlışlıkla bunlara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için.

Kişisel verilerin korunması için ne yapılması gerekiyor?

Öncelikle hangi PD bilgi sistemlerinin var olduğunu ve ne tür PD işlediklerini belirlemek gerekir.

Kişisel veri bilgi sisteminin sınıflandırılması

PD'yi koruma sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntemleri ve araçları seçmek için operatörün ISPD'yi sınıflandırması gerekir. Sınıflandırma sırası tanımlandı emriyle Rusya'nın FSTEC'i, Rusya FSB ve 13 Şubat 2008 tarih ve 55/86/20 sayılı Rusya Bilgi ve İletişim Bakanlığı.

Böylece operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atamaya karar veren bir komisyon (kuruluş başkanının emriyle) oluşturur. Sınıflandırma sırasında belirlenir:

• işlenmiş kişisel veri kategorisi;
• işlenen kişisel veri miktarı;
• bilgi sistemi türü;
• bilgi sisteminin yapısı ve teknik araçlarının yeri;
• kişisel veri işleme modları;
• kullanıcı erişim haklarının farklılaşma modları;
• ağ bağlantılarının kullanılabilirliği Genel kullanım ve (veya) uluslararası bilgi alışverişi ağları.

Göre Sipariş No. 55/86/20, tüm bilgi sistemleri (IS) standart ve özel olarak ayrılmıştır.

Tipik bilgi sistemleri - sadece kişisel verilerin gizliliğini gerektiren bilgi sistemleri.

Özel bilgi sistemleri - Kişisel verilerin gizliliğini sağlama ihtiyacına bakılmaksızın, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin sağlanmasının gerekli olduğu bilgi sistemleri (yok etme, değiştirme, engelleme ve diğer yetkisiz işlemlerden korunma) .

Pratikte, pratikte standart IS'lerin olmadığı ortaya çıkıyor, çünkü çoğu durumda, gizliliğe ek olarak, bilgilerin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli. Ayrıca, içinde hatasızözel sistemler şunları içermelidir:

• kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
• kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde, kararların alınmasını sağlayan bilgi sistemleri yasal etkiler kişisel verilerin konusu ile ilgili olarak veya başka bir şekilde haklarını ve meşru menfaatler.

Bu nedenle, ilk verilerin analizinin sonuçlarına dayanarak, komisyon uygun sınıfı kişisel veri sistemine atar:

sınıf 1 (K1)- İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin önemli sonuçlara yol açabileceği bilgi sistemleri Olumsuz sonuçlar kişisel veri konuları için;

2. sınıf (K2)- İşlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3)- İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

4. sınıf (K4)- İşlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırmanın sonuçları, ISPD'nin türünü (tipik, özel), ISPD'ye atanan sınıfı ve kararın verildiği koşulları gösteren ISPD Sınıflandırma Yasası ile belgelenir.

Daha önce de belirtildiği gibi, sınıflandırma için gereklidir daha fazla seçim ISPD'de işlenen PD'yi koruma yöntemleri ve araçları, çünkü FSTEC ve FSB belgelerinde her sınıfın ISPD'yi korumak için kendi gereksinimleri vardır, bu biraz sonra konuşacağız.

İşleme konu olan PD'nin onayı

Daha sonra, bu verilerin işlenmesine geçilmelidir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun rızasını almak gerekir (kanun böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller) :

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar dışında PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını, kişisel verilerin elde edilmesine ilişkin koşulları ve kişisel verileri işlemeye tabi olan konuların çevresini belirleyen ve ayrıca operatörün yetkilerini belirleyen bir federal yasa temelinde gerçekleştirilir. ;

2) Kişisel verilerin işlenmesinin, kişisel verilere konu olan taraflardan birinin sözleşmenin ifası amacıyla gerçekleştirilmesi;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer bilimsel amaçlar için gerçekleştirilir;

4) kişisel verilerin konusunun rızasının alınmasının imkansız olması durumunda, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesinin gerekli olması;

5) kişisel verilerin işlenmesinin teslimat için gerekli olması posta öğeleri posta kuruluşları, telekomünikasyon operatörleri tarafından sağlanan iletişim hizmetleri için iletişim hizmetleri kullanıcıları ile yerleşim yerlerinin uygulanması ve ayrıca iletişim hizmetleri kullanıcılarının taleplerinin değerlendirilmesi için;

6) kişisel verilerin işlenmesi, amaçları doğrultusunda gerçekleştirilir. profesyonel aktivite gazeteci veya bilimsel, edebi veya diğer amaçlarla yaratıcı aktivite kişisel veri sahibinin hak ve özgürlüklerini ihlal etmemesi kaydıyla;

7) Yerine geçen kişilerin kişisel verileri de dahil olmak üzere yayına tabi kişisel verilerin federal yasalara uygun olarak işlenmesi kamu ofisi, hükümet pozisyonları sivil hizmet, seçilen eyalet veya belediye pozisyonları için adayların kişisel verileri.

Bu nedenle, PD işleme durumumuz Federal Yasa-152'nin 6. maddesinin 2. bölümünde öngörülmüşse, onay alınması gerekli değildir.

Ayrıca takip etmek gerekli İş Kanunu, Bölüm 14. Örneğin, işveren, çalışanın özel hayatı ile ilgili verileri ancak yazılı rızası ile alma ve işleme hakkına sahiptir. (İş Kanunu'nun 86. Maddesi 4. Kısmı).

Göre Madde 9 FZ-152 kişisel verilerin konusunun kişisel verilerinin işlenmesi için rızasının alınması gerekir içinde yazı . Yazılı antlaşma kişisel verilerin konusu şunları içermelidir:

• soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;
• kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;
• kişisel veri işlemenin amacı;
• işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;
• rızanın verildiği kişisel veriler içeren eylemlerin bir listesi, Genel açıklama operatör tarafından kişisel verilerin işlenmesi için kullanılan yöntemler;
• rızanın geçerli olduğu süre ve geri çekilme prosedürü.

PD'nin işlenmesini ve korunmasını düzenleyen yönetmelik

Bu nedenle, operatör (gerekirse) kişisel verilerin işlenmesi için onay almıştır - kişisel veriler işlenebilir. Ancak, göre İş Kanunu ve FZ-152 kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin prosedürü düzenleyen bir düzenlemenin (varsa, Federal Kanun uyarınca nihai hale getirilmesi) geliştirilmesi gerekir. Geçici olarak diyelim Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik. Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluşun dahili (yerel) bir belgesidir. katı form bu belge hayır, ancak gereksinimleri karşılaması gerekir TC ve FZ-152, ve bu nedenle şunları içermelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanır ve başkanın talimatı ile yürürlüğe konulur. İşveren, çalışana imza karşılığı Yönetmelikler hakkında bilgi vermekle yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ayrıca, yayınlamak için gerekli PD işlemeye kabul edilen kişilerin listesi, yani resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin (pozisyona göre) listesi. Her şeyden önce çalışanlardır. personel servisi, çünkü çalışanın yanı sıra muhasebe departmanı çalışanları hakkında veri toplar ve oluştururlar. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir - ve bu da listeye yansıtılmalıdır. Ancak, hepsinin herhangi bir veriyi değil, yalnızca belirli görevleri yerine getirmek için gerekli olanları talep etme hakkı vardır. emek fonksiyonları(örneğin, vergi avantajlarını hesaplamak için, muhasebe departmanı çalışanla ilgili tüm bilgileri değil, yalnızca bağımlılarının sayısına ilişkin verileri alacaktır). Bu nedenle, kullanıcılara izin verilen bilgi kaynaklarının bir listesinin yazılması tavsiye edilir.

PD'nin işlenmesine kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin eki veya başkan tarafından onaylanan ayrı bir belge şeklinde düzenlenebilir.

Roskomnadzor bildirimi

Ayrıca, uyarınca Madde 22 FZ-152 operatör, kişisel verilerin işlenmesine başlamadan önce, PD konularının (bugün Federal İletişim, Bilgi Teknolojileri ve Kitle İletişim Denetleme Hizmeti (Roskomnadzor)) haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür. öngörülen durumlar dışında, PD'yi işleme niyeti 22 FZ-152 maddesinin 2. kısmı:

Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

1) işletmeci ile iş ilişkileri ile ilişkilendirilen kişisel veri sahiplerine ilişkin;

2) kişisel verilerin dağıtılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmemesi ve kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan ve işletmeci tarafından yalnızca söz konusu sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için kullanılması;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve ilgili tarafından işlenen halk derneği veya dini organizasyon yasalara uygun hareket etmek Rusya Federasyonuöngördüğü meşru amaçlara ulaşmak için kuruluş belgeleri, kişisel veri sahiplerinin yazılı rızası olmaksızın kişisel verilerin paylaşılmaması kaydıyla;

4) kamuya açık kişisel veri olması;

5) kişisel veri konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) operatörün bulunduğu bölgeye tabi kişisel verilerin tek bir geçişi veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde yer alan;

8) federal yasalara veya diğer düzenleyici düzenlemelere uygun olarak otomasyon kullanılmadan işlenir yasal işlemler Rusya Federasyonu'nun, işlenmesi sırasında kişisel verilerin güvenliğinin sağlanması ve kişisel verilerin konularının haklarının gözetilmesi için gereksinimlerin belirlenmesi

Bildirim gereksinimleri, 22 FZ-152 maddesinin 3. bölümü. Kişisel verilerin işlenmesi (işleme niyeti) için bildirim formu elektronik olarak Roskomnadzor web sitesinde doldurulabilir: http://pd.rsoc.ru/operators-registry/notification/form/

Artık kişisel verileri işlemeye başlayabilir, aynı anda en karmaşık ve sorunlu konu -Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgileri korumaya yönelik önlemler zaman alıcıdır ve aşağıdaki ihtiyaçlardan dolayı önemli finansal maliyetlere yol açabilir:

• (gerekirse) üzerinde çalışmak için bir lisans almak teknik koruma Rusya FSTEC'in gizli bilgileri;
• ISPD'yi korumak için bir sistem oluşturmak ve / veya bilgi güvenliği gereksinimlerine göre sertifikalandırmak için faaliyetler yürütmek üzere Rusya FSTEC'in lisans sahibini dahil etmek;
• bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konularında ileri eğitim kurslarına göndermek ve/veya bilgi güvenliği uzmanları işe almak;
• ISPD sınıfına bağlı olarak FSTEC sertifikalı bilgi güvenliği araçlarını (SrZI), FSB sertifikalı kriptografik bilgi güvenliği araçlarını (CIPF) kurun.

Kendiniz bir şeyler yapabilirsiniz, ancak bir yerde uzmanlara güvenmek daha iyidir. Ancak kişisel verilerin bir şekilde korunması gerekir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

• 17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler"
• 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin düzenlemeler"
• 6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Biyometrik kişisel verilerin ve bu tür verilerin kişisel veri bilgi sistemleri dışında depolanması için teknolojilerin maddi taşıyıcıları için gereklilikler"
• Özel gereksinimler ve 30 Ağustos 2002 tarih ve 282 sayılı Rusya Devlet Teknik Komisyonu'nun (DSP) emriyle onaylanan gizli bilgilerin teknik korunmasına ilişkin tavsiyeler (STR-K)
• 15 Şubat 2008 tarihli kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli (Özet, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanallarından bilgi sızıntısı tehditleri göz önüne alındığında), başvurmak gerekli tam versiyon bu belgenin - sunta)
• belirleme yöntemi gerçek tehditler 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin güvenliği ("resmi kullanım için" işareti 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin öneriler ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• Organizasyonun ana faaliyetleri ve teknik Destek 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliği ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
• yönergeler otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin kriptografik araçlar yardımıyla güvenliğini sağlamak. FSB, 21 Şubat 2008
• Bilgiyi oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış şifreleme (kriptografik) araçlarının işleyişini sağlamak ve düzenlemek için standart gereksinimler. devlet sırrı kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak amacıyla kullanılıyorsa. FSB, 21 Şubat 2008

ISPD'de işlenirken PD'nin güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların çoğu vardır ve bunlar büyük ölçüde belirli ISPD'ye bağlıdır. Sık sık ana noktalar üzerinde duralım zahmetli operatörlerde.

Lisans - almak veya almamak?

mevzuat ve FSTEC belgeleri bize şunları söyleyin:

Madde 16, bölüm 6 FZ-149"Bilgi hakkında bilgi Teknolojisi ve bilgilerin korunması hakkında" 27 Temmuz 2006 tarihli:

Federal yasalar, bilgilerin korunması ve uygulanması için belirli araçların kullanımına ilişkin kısıtlamalar getirebilir. belirli türler bilgi koruma alanındaki faaliyetler.

Federal Yasa-128'in 17. Maddesi, 1. Kısmı, 11. Maddesi 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasa uyarınca lisanslamaya tabidir aşağıdaki türler faaliyetler: gizli bilgilerin teknik olarak korunmasına yönelik faaliyetler.

504 Sayılı Rusya Federasyonu Hükümeti Kararnamesi 15 Ağustos 2006 tarihli "Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Üzerine"

Gizli bilgilerin teknik olarak korunması, teknik kanallar da dahil olmak üzere yetkisiz erişime ve ayrıca bu bilgileri yok etmek, çarpıtmak veya erişimi engellemek için bu tür bilgiler üzerindeki özel etkilerden korunması için bir dizi önlem ve (veya) hizmet olarak anlaşılır. BT.

Ana olaylar… FSTEC
Madde 3.14

128 Sayılı “Belirli Faaliyet Türlerinin Lisanslanması Hakkında” Federal Kanun hükümleri ve 504 Sayılı “Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Hakkında” Hükümet Kararnamesi gereklilikleri uyarınca, ISPD operatörleri güvenliği sağlamak için önlemler alırken ISPD 1 , 2 ve 3 (dağıtılmış sistemler) sınıflarında işlenmeleri sırasında PD (gizli bilgiler) Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerde bulunma lisansı içinde Vaktinden.

Ayrıca lisans gerekliliği ile ilgili soruyu da yanıtladı Rusya FSTEC Bölüm Başkanı NAZAROV Igor Grigorievichüzerinde yuvarlak masa"Connect! World of Communication" dergisi tarafından yürütülen (http://www.connect.ru/article.asp?id=9406):

Soru: ISPD'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik korunması için bir lisans almaları gerekiyor mu?

Igor Nazarov: FSTEC belgelerine göre, sınıf 1, 2 bilgi sistemleri ve sınıf 3 coğrafi olarak dağıtılmış sistemler üzerinde bağımsız olarak bu tür faaliyetleri yürüten PD operatörleri için bir lisans gereklidir, kural olarak bunlar büyük devlet bilgi sistemleridir. Aynı zamanda 3. ve 4. sınıf ISPD'ye sahip poliklinikler, kreşler, eczaneler vb. için bu tür ruhsatların alınması gerekli değildir.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD operatörü bilgi koruması (PD) ile ilgili önlemleri almak için bir anlaşmaya girerse, yetkili kişi- Rusya FSTEC'in bir lisans sahibi, bir lisansa sahip olması gerekli değildir.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak (ISPD'yi korumak için bir sistem oluşturmak, sertifikalandırma) için TZKI için bir FSTEC lisansı almak yerine, FSTEC'den bir lisans sahibi çekmek daha uygun maliyetli olacaktır, gerekli tüm işleri kim yapacak.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.) kendileri için bir lisans almak ve gerekli tüm işleri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerin yürütülmesi için lisans verilmesi prosedürü tanımlanmıştır " Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler” (15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır). Lisans almak için gerekenler:

a) lisans adayının (lisans sahibi) durumunda, daha yüksek uzmanlığa sahip uzmanların varlığı; profesyonel eğitim bilginin teknik korunması veya yüksek veya orta mesleki (teknik) eğitim alanında ve bilginin teknik korunması konularında yeniden eğitim veya ileri eğitim almış olanlar;

b) lisans adayının (lisans alan), lisanslı faaliyetin uygulanması için aşağıdakilere tekabül eden binaları vardır: teknik standartlar ve Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan ve mülkiyet hakkı veya başka bir kişiye ait olan bilgilerin teknik korunması için gereklilikler yasal dayanak;

c) herhangi bir yasal temelde, Rusya Federasyonu mevzuatına uygun olarak geçen üretim, test ve enstrümantasyon ekipmanının varlığı metrolojik doğrulama(kalibrasyon), işaretleme ve belgelendirme;

d) kullanmak otomatik sistemler Rusya Federasyonu mevzuatına uygun olarak uygunluk değerlendirme prosedürünü geçen (onaylanmış ve (veya) bilgi güvenliği gerekliliklerine göre onaylanmış) bu tür bilgilerin korunmasının yanı sıra gizli bilgilerin işlenmesi;

e) lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların, hak sahipleri ile yapılan bir anlaşma temelinde kullanılması;

f) düzenleyici yasal düzenlemelerin mevcudiyeti, düzenleyici ve metodolojik ve metodolojik belgeler Federal Teknik Servis tarafından oluşturulan listeye uygun olarak bilgilerin teknik olarak korunması konularında ve ihracat kontrolü.

SZPDn oluşturma aşamaları

Göre Ana aktiviteler FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin organizasyonu ve teknik güvenliği için bir kişisel veri koruma sisteminin (PSPD) oluşturulması aşağıdaki adımlardan oluşur:

1. Proje öncesi aşama

1.1 Bilgilendirme nesnesinin denetimi:

• ISPD'de PD işleme ihtiyacının belirlenmesi;
• korunacak PD listesinin belirlenmesi;
• kontrollü bölgenin (KZ) sınırlarına göre ISPD'nin konumu için koşulların belirlenmesi;
• ISPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve bireysel bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
• korunan ISPD'de kullanılan teknik araçların ve sistemlerin belirlenmesi, yerlerinin koşulları;
• korumalı ISPD'de kullanılan sistem çapında, özel ve uygulama yazılımlarının tanımı;
• ISPD'de bir bütün olarak ve bireysel bileşenlerde bilgi işleme modunun belirlenmesi;
• ISPD'nin sınıflandırılması;
• personelin bilgilerin işlenmesine (tartışma, iletim, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
• bilgi güvenliğine yönelik güvenlik açıkları ve tehditlerin bir listesinin belirlenmesi ve derlenmesi, tehditlerin bilgi güvenliğine uygunluğunun değerlendirilmesi;
• özel bir tehdit modelinin geliştirilmesi.

1.2 geliştirme başvuru şartlarıüzerinde CPAP'nin oluşturulmasışunları içermelidir:

• SZPDn geliştirme ihtiyacının doğrulanması;
• teknik, programatik, bilgilendirici ve organizasyonel yönlerden ISPD'nin ilk verileri;
• ISPD sınıfı;
• SDPD'nin geliştirileceği ve ISPD'nin faaliyete geçirileceği dikkate alınarak düzenleyici belgelere bir bağlantı;
• SPPD için önlemlerin ve gereksinimlerin somutlaştırılması;
• kullanılması amaçlanan sertifikalı bilgi koruma araçlarının bir listesi;
• piyasada bulunan sertifikalı bilgi güvenliği araçlarını kullanmanın imkansız veya uygunsuz olması durumunda kendi bilgi güvenliği araçlarının geliştirilmesi için gerekçe;
• SPPD'nin geliştirilmesi ve uygulanması aşamalarındaki çalışmaların bileşimi, içeriği ve zamanlaması.

2. SPPD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel için izin verilen bir erişim sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve konfigürasyonu;

2.6 bilgi güvenliği araçlarının işletilmesinden sorumlu birimlerin ve kişilerin belirlenmesi, atanmış kişilerin PD'nin korunmasına ilişkin çalışmaların özellikleri konusunda eğitimi;

2.7 geliştirme operasyonel belgeler ISPD ve bilgi güvenliği araçları ile bilgi güvenliği için kurumsal ve idari belgeler (yönetmelikler, emirler, talimatlar ve diğer belgeler);

2.8 bilgileri korumaya yönelik diğer tedbirlerin uygulanması.

3. CPAP'nin uygulanma aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için bilgi güvenliği araçlarının diğer donanım ve yazılımlarla birlikte denenmesi;

3.2 bir kabul sertifikasının yürütülmesi ile deneme çalışmasının sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimleri için sertifika (beyan).

4. Bakım onarım ve bilgi güvenliği sisteminin bakımı

PD'nin korunması için organizasyonel ve idari belgeler

Dışında teknik çözümler Oluşturulan kişisel veri koruma sisteminin, işletmeci, ISPD'de işlenmesi ve PDPD'nin işletilmesi sırasında PD'nin güvenliğini sağlamak için ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür birçok belge var, ana olanlar:

1. PD güvenliğinin sağlanmasına ilişkin yönetmelik- makalenin başında, bu belgenin amacına ve bileşimine zaten değindik. Her ihtimale karşı, tekrar edelim - şunu belirtmelidir:

• kişisel verilerin korunması alanındaki amaç ve hedefler;
• kişisel verilerin kavramı ve bileşimi;
• bu verilerin hangi yapısal birimlerde ve hangi ortamda (kağıt, elektronik) biriktiği ve depolandığı;
• kişisel verilerin nasıl toplandığı ve saklandığı;
• nasıl işlendiği ve kullanıldığı;
• firma içinde kimlerin (pozisyona göre) bunlara erişimi var;
• yetkisiz erişim dahil olmak üzere PD koruma ilkeleri;
• çalışanın kişisel verilerinin korunmasını sağlamak için hakları;
• çalışanların kişisel verileriyle ilgili gizli bilgilerin ifşa edilmesi sorumluluğu.

2. ISPD'de PD ile çalışmak üzere kabul edilen kişilerin kabulü ve muhasebesi için bir sistem düzenlemek, - PD işlemeye kabul edilen kişilerin listesi(resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin bir listesi) ve Erişim Matrisi(kullanıcıların ISPD'nin belirli bilgi kaynakları - okuma, yazma, güncelleme, silme - ile ilgili belirli eylemleri gerçekleştirme yetkilerini yansıtmalıdır. Her iki belge de başkan tarafından onaylanır.

3. Özel tehdit modeli(birkaç ISPD varsa, o zaman her biri için tehdit modeli geliştirilir) - sonuçlara göre geliştirildi Ön araştırma. Rusya'nın FSTEC teklifleri temel model Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditler, buna göre özel bir model oluşturulurken aşağıdakiler dikkate alınmalıdır:

• teknik kanallardan bilgi sızıntısı tehditleri;
• ISPD'ye erişimi olan, tehditleri doğrudan ISPD'de uygulayan ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlalciler olarak değerlendirmek gerekir;
• ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli yönetici tarafından onaylanır.

4. Onaylı ISPD tehdit modeline dayalı olarak, ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamak için gereklilikler. Tehdit modeli gibi gereksinimler, bağımsız belge, kuruluş başkanı tarafından onaylanması gerekir.

Bir tehdit ve gereksinim modeli geliştirmek için operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. Talimatlar ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlama açısından.

Ayrıca, PD'yi korumak için tüm önlemleri almadan önce, operatör bir yetkili veya (PDIS yeterince büyükse) atamalıdır. yapısal alt bölüm PD'nin güvenliğini sağlamaktan sorumludur. Atama kararı verildi emriyleÖnder. Görevler, işlevler ve yetkiler resmi PD'nin güvenliğini sağlamaktan sorumlu (bölüm) iç organizasyonel ve idari belgelerle belirlenir ( iş tanımları, düzenlemeler).

Sertifika almak için neler gereklidir, neler değildir?

Her şeyin kullanıldığı çoğu zaman yanlış anlaşılır. yazılım(yazılım) sertifikalandırılmalıdır ve sertifikalandırma pahalı ve zaman alıcıdır.

Ancak, PD koruması konularını düzenleyen belgelerin hiçbiri neyin sertifikalandırılması gerektiğini söylemiyor. tüm yazılımlar. Bilgi güvenliği araçları, Rusya'nın FSTEC gereksinimlerine göre sertifikalandırılmalıdır, ancak ISPD'nin korunmasına dahil olmayan sistem, uygulama veya özel yazılımlar için onaylanmamalıdır.

Igor Nazarov: … NDV endişelerinin yokluğunun kontrolü için sertifika güvenlik işlevi, yani koruma araçları ve bilgi sisteminde kullanılan tüm yazılımlar değil (http://www.connect.ru/article.asp?id=9406).

Bugün web sitesinde görüntülenebilen FSTEC belgeleri Federal Hizmet teknik ve ihracat kontrolü konusunda bize bu konuda şunları söylüyorlar:

ISPD'de sadece bilgi güvenliği gerekliliklerine göre sertifikalandırılmış teknik araçlar ve koruma sistemleri kullanılmalıdır.

Ana olaylar…

Madde 4.2: ... ISPD'de, yazılım ve bellenimde bildirilmemiş yeteneklerin varlığı ve sistem ve uygulama yazılımının güvenliğinin analizi için kontrol yapılmalıdır.

Madde 4.3: Yazılım için, bilgilerin korunmasında kullanılan ISPD'de (genel sistem ve uygulama yazılımında yerleşik olanlar da dahil olmak üzere bilgi güvenliği araçları), içinde NDV'nin yokluğu üzerinde uygun bir kontrol düzeyi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmazsa sistem ve uygulama yazılımının sertifikalandırılması gerekli değildir - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma uygulaması, kullanılmasının gerekli olduğunu göstermektedir. lisanslı yazılım(sistem, uygulama ve özel yazılım) ve sertifikalı bilgi güvenliği ve anti-virüs koruması araçları(bunlar NSD'den SrZI, anti-virüs ürünleri, güvenlik duvarları, izinsiz giriş tespit araçları, belirli bir sınıfa karşılık gelen güvenlik analiz araçları olabilir). ISPD ayarlarsa bilgi korumanın kriptografik araçları (CIPF), daha sonra Rusya'nın FSB'sinin gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı CIPF yükleme hakkına sahip olduğu ve FSB lisans sahibinin CIPF yükleme hakkına sahip olduğu belirtilmelidir.

sertifika

Bir ISPD koruma sisteminin oluşturulmasındaki son aşama, sertifikalandırma (uygunluk beyanı) olmalıdır - bunun sonucunda, özel bir belge aracılığıyla - Uygunluk Sertifikası (Sonuç), bunun sonucunda bir dizi organizasyonel ve teknik önlem olmalıdır. ISPD'nin bilgi güvenliğine ilişkin standartların veya diğer düzenleyici ve metodolojik belgelerin gerekliliklerine uygun olduğu onaylanmıştır. Geçerli bir Uygunluk Onayının varlığı, Uygunluk Onayı'nda belirtilen süre boyunca bilgileri uygun gizlilik düzeyiyle işleme hakkı verir.

Soru: İş yerlerinin yasal gerekliliklere ve mevzuata uygunluğunu kimler onaylayabilir? normatif belgeler kişisel veriler alanında?

Igor Nazarov: Bilgi güvenliği gerekliliklerine uygunluk için ISPD sertifikası, gizli bilgilerin teknik korunması için lisansa sahip FSTEC lisans sahipleri tarafından gerçekleştirilebilir (http://www.connect.ru/article.asp?id=9406).

Sertifikasyon, benimsenen koruma önlemleri setinin gerekli PD güvenliği düzeyine uygunluğunu değerlendirmek için gerçek çalışma koşullarında ISPD'nin kapsamlı bir doğrulamasını (sertifikasyon testleri) sağlar.

AT Genel görünüm Bilgi güvenliği gereksinimleri için ISPD sertifikası aşağıdaki adımları içerir:

• sertifikalı ISPD'ye ilişkin ilk verilerin analizi;
• ISPD'nin uzman incelemesinin yapılması ve düzenleyici ve metodolojik belgelerin gerekliliklerine uygunluk için PD'nin güvenliğini sağlamak için geliştirilen belgelerin analizi;
• güvenliği yetkisiz erişime karşı izlemek için özel kontrol ekipmanı ve yazılım araçları kullanarak gerçek çalışma koşullarında ISPD'nin karmaşık sertifikasyon testlerini gerçekleştirmek;
• karmaşık tasdik testlerinin sonuçlarının analizi, tasdik sonuçlarına dayalı olarak Sonuç ve Uygunluk Belgesinin yürütülmesi ve onaylanması.

Önemli olan nokta şu ki koşullarda ve işleme teknolojisinde değişiklik olması durumunda PD işleticisi, bunu ISPD sertifikasyonunu gerçekleştiren lisans sahibi kuruluşa bildirmekle yükümlüdür. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek doğrulama ihtiyacına karar verir.

Yasanın gerekliliklerine uymama sorumluluğu ve riskleri

PD güvenliğinin sağlanmasına ilişkin gerekliliklerin yerine getirilmemesi durumunda, işletmeci müşterilerden veya çalışanlardan hukuk davası açma riskleri ile karşı karşıya kalabilir.

Bu da şirketin itibarını etkileyebilir ve ayrıca PD işleminin zorunlu olarak askıya alınmasına (fesih) yol açarak şirketi ve (veya) başkanını idari veya diğer türde sorumluluklara sokar ve eğer belirli koşullar- lisansların askıya alınması veya iptali. Ek olarak, Federal Yasaya göre, gereklilikleri ihlal etmekten suçlu bulunan kişiler, medeni, cezai, idari, disiplin ve diğer kanunla sağlanan RF sorumluluğu ( Madde 24 FZ-152):

• disiplin ( İş Kanunu Rusya Federasyonu, Madde 81, 90, 195, 237, 391);
• İdari (Rusya Federasyonu İdari Suçlar Kanunu, 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
• Ceza (Rusya Federasyonu Ceza Kanunu, 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Ve sonuç ne?...

Artık pek çok kişi, günümüz mevzuatının ve düzenleyici ve metodolojik belgelerin birçok yanlışlık ve hatta bazı açılardan aşırılıklara sahip olduğunu söylüyor.

Birçoğu, Aralık 2009'da FZ-152'nin gerekliliklerini yerine getirmek için son tarihlerin Ocak 2011'e kadar uzatılmasına karar verildiğini umuyor.

Ancak bundan bağımsız olarak, kişisel verilerin korunması ihtiyacı devam etmektedir.

Dolayısıyla bu sorunun çözümünü sonsuza kadar ertelememelisiniz ve artık kişisel verilerin güvenliğini sağlamak için gerekli önlemleri almanız gerekiyor.

1. Bu Federal Yasa, federal makamlar tarafından gerçekleştirilen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. Devlet gücü, Rusya Federasyonu'nun kurucu kuruluşlarının devlet yetkilileri, diğer devlet organları (bundan sonra - devlet organları), organlar yerel hükümet, diğer belediye yetkilileri (bundan böyle belediye yetkilileri olarak anılacaktır), bilgi ve telekomünikasyon ağları dahil olmak üzere otomasyon araçlarını kullanan veya bu araçları kullanmayan tüzel kişiler ve bireyler, kişisel verilerin bu araçları kullanmadan işlenmesi eylemlerin niteliğine uygunsa ( otomasyon araçları kullanılarak kişisel verilerle gerçekleştirilen işlemler) yani, belirli bir algoritmaya göre, somut bir ortama kaydedilen ve dosya dolaplarında veya diğer sistematikleştirilmiş kişisel veri koleksiyonlarında bulunan kişisel verilerin aranmasına izin verir ve (veya) bu tür kişisel verilere erişim.

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

2) kişisel verileri içeren belgelerin depolanması, elde edilmesi, muhasebeleştirilmesi ve kullanılmasının organizasyonu Arşiv Fonu Rusya Federasyonu mevzuatına uygun olarak ve diğer arşiv belgeleri arşivleme Rusya Federasyonu'nda;

5) sağlamak yetkili kuruluşlar 22 Aralık 2008 tarihli Federal Yasa uyarınca Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgi N 262-FZ "Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgiye erişimin sağlanması hakkında".

Bu Federal Yasanın amacı, bir kişinin ve vatandaşın kişisel verilerinin işlenmesinde, mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere hak ve özgürlüklerinin korunmasını sağlamaktır.

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

2) operatör - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız veya ortaklaşa bir devlet organı, belediye organı, tüzel kişi veya birey, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler);

3) kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası;

6) kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;

9) kişisel verilerin duyarsızlaştırılması - kullanılmadan imkansız hale gelen eylemler Ek Bilgiler belirli bir kişisel veri konusu tarafından kişisel verilerin sahipliğini belirlemek;

10) kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;

11) kişisel verilerin sınır ötesi aktarımı - kişisel verilerin bölgeye aktarılması yabancı devlet yabancı bir devletin, yabancı bir bireyin veya yabancı bir tüzel kişinin otoritesi.

1. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı, Rusya Federasyonu Anayasası'na ve Rusya Federasyonu'nun uluslararası anlaşmalarına dayanmaktadır ve bu Federal Yasa ile verilerin işlenmesinin durumlarını ve özelliklerini belirleyen diğer federal yasalardan oluşmaktadır. kişisel veri.

2. Federal yasalara dayanarak ve bunlara uygun olarak, devlet organları, Rusya Bankası, yerel yönetimler, yetkileri dahilinde, aşağıdakilerle ilgili belirli konularda düzenleyici yasal düzenlemeler, düzenlemeler, yasal düzenlemeler (bundan sonra düzenleyici yasal düzenlemeler olarak anılacaktır) kabul edebilir. kişisel verilerin işlenmesi. Bu tür eylemler, kişisel veri konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya federal yasalar tarafından öngörülmeyen operatörlere yükümlülükler getiren ve resmi yayına tabi olan hükümler içeremez.

3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri, bu Federal Yasanın hükümlerine tabi olarak, federal yasalar ve Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemeleri tarafından belirlenebilir.

4. Eğer uluslararası anlaşma Rusya Federasyonu, bu Federal Yasanın öngördüğü kurallar dışında kurallar oluşturmuştur, uluslararası bir anlaşmanın kuralları geçerlidir.

2. Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçlara ulaşılmasıyla sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.

3. Birbiriyle bağdaşmayan amaçlarla işlenmesi gerçekleştirilen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.

6. Kişisel veriler işlenirken, kişisel verilerin doğruluğu, yeterliliği ve gerekirse kişisel verilerin işlenme amaçlarıyla uygunluğu sağlanmalıdır. Operatör, eksik veya yanlış verilerin kaldırılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya alınmasını sağlamalıdır.

RUSYA FEDERASYONU
FEDERAL HUKUK
KİŞİSEL VERİLER HAKKINDA

(25 Kasım 2009 tarihli ve 266-FZ sayılı Federal Kanunlarla değiştirilen şekliyle, 27.12.2009 tarihli N 363-FZ, 28.06.2010 tarihli N 123-FZ, 27.07.2010 tarihli N 204-FZ, 27.07.2010 tarihli N 227-FZ, 29.11.2010 tarihli N 313-FZ 23.12.2010 tarihli N 359 -FZ, 06/04/2011 tarihli N 123-FZ, 07/25/2011 tarihli N 261-FZ)

Bölüm 1. Genel Hükümler

Madde 1. Bu Federal Yasanın Kapsamı

1. Bu Federal Yasa, federal devlet makamları, Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları, diğer devlet organları (bundan sonra devlet organları olarak anılacaktır), yerel yönetim organları, diğer belediye organları tarafından yürütülen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler ( bundan böyle belediye organları olarak anılacaktır), tüzel kişiler ve bilgi ve telekomünikasyon ağları dahil olmak üzere otomasyon araçlarını kullanan veya bu araçları kullanmayan kişisel verilerin bu tür araçlar kullanılmadan işlenmesi eylemlerin (işlemlerin) niteliğine uygunsa, ) otomasyon araçları kullanılarak kişisel verilerle gerçekleştirilen, yani belirli bir algoritmaya göre, somut bir ortama kaydedilen ve dosya dolaplarında veya diğer sistematikleştirilmiş kişisel veri koleksiyonlarında bulunan kişisel verileri aramaya ve (veya) bu tür erişime izin verir. kişiler tüm veriler.
2. Bu Federal Yasa, aşağıdakilerden kaynaklanan ilişkiler için geçerli değildir:
   • kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için kişiler tarafından işlenmesi;
   • Rusya Federasyonu Arşiv Fonu'nun kişisel verilerini içeren belgelerin ve Rusya Federasyonu'ndaki arşivleme mevzuatına uygun olarak diğer arşiv belgelerinin depolanması, elde edilmesi, muhasebeleştirilmesi ve kullanılması;
   • gücünü kaybetmiştir. - federal yasa 25 Temmuz 2011 tarihli N 261-FZ;
   • belirlenen usule göre sınıflandırılan kişisel verilerin devlet sırrı oluşturan bilgi olarak işlenmesi;
   • 22 Aralık 2008 tarihli N 262-FZ Federal Yasası uyarınca Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında yetkili organlar tarafından bilgi sağlanması “Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgiye erişimin sağlanması”.

Madde 2. Bu Federal Yasanın Amacı

Bu Federal Yasanın amacı, bir kişinin ve vatandaşın kişisel verilerinin işlenmesinde, mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere hak ve özgürlüklerinin korunmasını sağlamaktır.

Madde 3. Bu Federal Yasada kullanılan temel kavramlar

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

• kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;
• operatör - kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, kişisel verilerin bileşimini belirleyen diğer kişilerle bağımsız olarak veya ortaklaşa bir devlet organı, belediye organı, tüzel kişi veya birey. işlenecek, kişisel verilerle gerçekleştirilen eylemler (işlemler);
• kişisel verilerin işlenmesi - toplama, kaydetme, sistematize etme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma dahil olmak üzere kişisel verilerle otomasyon araçları kullanılarak veya kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası;
• kişisel verilerin otomatik işlenmesi - bilgisayar teknolojisi kullanılarak kişisel verilerin işlenmesi;
• kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi çemberine ifşa edilmesini amaçlayan eylemler;
• kişisel verilerin sağlanması - kişisel verilerin belirli bir kişiye veya belirli bir kişi çevresine ifşa edilmesini amaçlayan eylemler;
• kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (işleme, kişisel verilerin açıklığa kavuşturulması için gerekli olmadıkça);
• kişisel verilerin imhası - bunun sonucunda kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğini geri yüklemenin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;
• kişisel verilerin duyarsızlaştırılması - bunun sonucunda, kişisel verilerin belirli bir kişisel veri konusu tarafından ek bilgi kullanılmadan sahipliğini belirlemenin imkansız hale geldiği eylemler;
• kişisel veri bilgi sistemi - veritabanlarında ve bilgi teknolojilerinde ve bunların işlenmesini sağlayan teknik araçlarda bulunan bir dizi kişisel veri;
• kişisel verilerin sınır ötesi aktarımı - kişisel verilerin yabancı bir devletin topraklarına yabancı bir devletin otoritesine, yabancı bir kişiye veya yabancı bir tüzel kişiye aktarılması.

Madde 4. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

1. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı, Rusya Federasyonu Anayasasına ve Rusya Federasyonu'nun uluslararası anlaşmalarına dayanmaktadır ve bu Federal Yasa ile kişisel verilerin işlenmesinin durumlarını ve özelliklerini belirleyen diğer federal yasalardan oluşmaktadır. .
2. Federal yasalara dayanarak ve bu yasalar uyarınca, devlet organları, Rusya Merkez Bankası, yerel yönetimler, yetkileri dahilinde, işleme ile ilgili belirli konularda düzenleyici yasal düzenlemeler, düzenlemeler, yasal düzenlemeler (bundan böyle düzenleyici yasal düzenlemeler olarak anılacaktır) kabul edebilir. kişisel veriler. Bu tür eylemler, kişisel veri konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya federal yasalar tarafından öngörülmeyen operatörlere yükümlülükler getiren ve resmi yayına tabi olan hükümler içeremez.
3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri, bu Federal Yasanın hükümlerine tabi olarak, federal yasalar ve Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemeleri tarafından belirlenebilir.
4. Rusya Federasyonu'nun uluslararası bir antlaşması, bu Federal Yasa tarafından öngörülenlerden başka kurallar koyarsa, uluslararası antlaşmanın kuralları geçerli olur.

Bölüm 2. Kişisel verilerin işlenmesine ilişkin ilke ve koşullar

Madde 5. Kişisel verilerin işlenmesine ilişkin esaslar

1. Kişisel verilerin işlenmesi yasal ve adil bir temelde gerçekleştirilmelidir.
2. Kişisel verilerin işlenmesi, belirli, önceden belirlenmiş ve meşru amaçlara ulaşılmasıyla sınırlı olmalıdır. Kişisel verilerin toplanma amaçlarıyla bağdaşmayan kişisel verilerin işlenmesine izin verilmez.
3. Birbiriyle bağdaşmayan amaçlarla işlenmesi gerçekleştirilen kişisel verileri içeren veri tabanlarının birleştirilmesine izin verilmez.
4. Yalnızca işlenme amaçlarını karşılayan kişisel veriler işlemeye tabidir.
5. İşlenen kişisel verilerin içeriği ve kapsamı, belirtilen işleme amaçlarına uygun olmalıdır. İşlenen kişisel veriler, işlenme amaçlarına ilişkin olarak aşırı olmamalıdır.
6. Kişisel veriler işlenirken, kişisel verilerin doğruluğu, yeterliliği ve gerekirse kişisel verilerin işlenme amaçlarına uygunluğu sağlanmalıdır. Operatör, eksik veya yanlış verilerin kaldırılması veya açıklığa kavuşturulması için gerekli önlemleri almalı veya alınmasını sağlamalıdır.
7. Kişisel verilerin saklanması, kişisel verilerin işlenme amaçlarının gerektirdiğinden daha uzun olmayacak şekilde, kişisel verilerin konusunun belirlenmesine izin veren bir biçimde gerçekleştirilmelidir, eğer kişisel verilerin saklanma süresi federal yasa tarafından belirlenmemişse, bir anlaşma kişisel verilerin konusunun taraf, lehdar veya garantör olduğu. İşlenen kişisel veriler, federal yasalar tarafından aksi belirtilmedikçe, işleme hedeflerine ulaşıldığında veya bu hedeflere ulaşma ihtiyacının kaybolması durumunda imha veya duyarsızlaştırmaya tabidir.

Madde 6. Kişisel verilerin işlenmesine ilişkin koşullar

1. Kişisel verilerin işlenmesi, bu Federal Yasanın öngördüğü ilke ve kurallara uygun olarak gerçekleştirilmelidir. Kişisel verilerin işlenmesine izin verilir aşağıdaki durumlar:
   • kişisel verilerin işlenmesi, kişisel verilerin konusunun kişisel verilerinin işlenmesine rızası ile gerçekleştirilir;
   • Kişisel verilerin işlenmesi, Rusya Federasyonu'nun uluslararası bir antlaşması veya yasa ile öngörülen hedeflere ulaşmak, Rusya Federasyonu mevzuatı ile işletmeciye verilen işlevleri, yetkileri ve yükümlülükleri yerine getirmek ve yerine getirmek için gereklidir;
   • kişisel verilerin işlenmesinin adaletin tecelli etmesi, infazı için gerekli olması adli işlem Rusya Federasyonu mevzuatına göre icraya tabi başka bir organın veya resmi görevlinin eylemi icra takibi(bundan böyle adli bir işlemin icrası olarak anılacaktır);
   • kişisel verilerin işlenmesi, 27 Temmuz 2010 tarihli Federal Yasa uyarınca devlet veya belediye hizmetlerinin sağlanması için gereklidir N 210-FZ "Kamu ve hizmetlerin sağlanmasının organizasyonu hakkında Belediye hizmetleri", böyle bir hizmetin sağlanmasını sağlamak, kişisel verilerin konusunu tek portal devlet ve belediye hizmetleri;
   • kişisel verilerin işlenmesi, kişisel verilerin konusunun taraf veya lehtar veya garantör olduğu bir sözleşmenin ifası için gerekli olduğu kadar, kişisel verilerin konusunun inisiyatifiyle bir anlaşma veya altında bir anlaşmanın akdedilmesi için gereklidir. kişisel verilerin konusu, yararlanıcı veya garantör olacaktır;
   • kişisel verilerin konusunun rızasının alınmasının imkansız olması durumunda, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesi gereklidir;
   • Kişisel verilerin öznesinin hak ve özgürlüklerinin ihlal edilmemesi kaydıyla, işletmecinin veya üçüncü kişilerin hak ve meşru menfaatlerini kullanmak veya sosyal açıdan önemli hedeflere ulaşmak için kişisel verilerin işlenmesinin gerekli olması;
   • kişisel verilerin konusunun hakları ve meşru menfaatlerinin ihlal edilmemesi koşuluyla, bir gazetecinin mesleki faaliyetleri ve (veya) kitle iletişim araçlarının meşru faaliyetleri veya bilimsel, edebi veya diğer yaratıcı faaliyetler için kişisel verilerin işlenmesi gereklidir. ;
   • kişisel verilerin işlenmesi, bu Federal Yasanın 15. Maddesinde belirtilen amaçlar dışında, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak, istatistiksel veya diğer araştırma amaçları için gerçekleştirilir;
   • kişisel verilerin işlenmesi, kişisel verilerin konusu tarafından veya talebi üzerine sağlanan sınırsız bir kişi çemberinin erişimi (bundan böyle kişisel verilerin konusu tarafından kamuya açıklanmış kişisel veriler olarak anılacaktır);
   • federal yasalara uygun olarak yayına veya zorunlu ifşaya tabi kişisel verilerin işlenmesi.
2. Biyometrik kişisel verilerin yanı sıra özel kişisel verilerin işlenmesinin özellikleri, bu Federal Yasanın sırasıyla 10 ve 11. Maddeleri ile belirlenir.
3. Operatör, federal yasa tarafından aksi belirtilmedikçe, bu kişiyle yapılan bir anlaşma temelinde, kişisel verilerin konusunun rızasıyla kişisel verilerin işlenmesini başka bir kişiye emanet etme hakkına sahiptir. belediye sözleşmesi veya bir devlet veya belediye organı tarafından ilgili bir kanunu kabul ederek (bundan sonra operatörün talimatı olarak anılacaktır). Operatör adına kişisel verileri işleyen bir kişi, bu Federal Yasa ile öngörülen kişisel verilerin işlenmesine ilişkin ilke ve kurallara uymakla yükümlüdür. Operatörün talimatı, kişisel verileri işleyen kişi tarafından gerçekleştirilecek kişisel verilerle (işlemlerin) bir listesini ve işleme amaçlarını, böyle bir kişinin kişisel verilerin gizliliğini koruma ve kişisel güvenliğini sağlama yükümlülüğünü tanımlamalıdır. işlenmesi sırasındaki veriler ve ayrıca işlenmiş kişisel verilerin korunmasına ilişkin şartlar, bu Federal Yasanın 19. Maddesine uygun olarak belirtilmelidir.
4. Operatör adına kişisel verileri işleyen kişinin, kişisel verilerinin işlenmesi için kişisel verilerin konusunun onayını alması gerekli değildir.
5. İşletmeci, kişisel verilerin işlenmesini başka bir kişiye emanet ederse, işletmeci, söz konusu kişinin eylemlerinden kişisel verilerin konusuna karşı sorumlu olacaktır. İşletmeci adına kişisel verileri işleyen kişi işletmeciye karşı sorumludur.

Alexey Kondratov
Kurucu ortak ve lider hukuk Departmanı hizmet sitesi, kişisel verilerin korunması alanında uzman, yasal destek başlangıçlar ve adli koruma işletme.

Eğitim: Hukuk Fakültesi Pomeranian Devlet Üniversitesi. Daha önce İski Online'da CEO olarak çalıştı.

1 Temmuz 2017 itibariyle, değişiklikler Rus Kodu İdari suçlar. 152-FZ sayılı “Kişisel Verilerin Korunması Hakkında Kanun” kapsamındaki ihlallere verilecek cezaların miktarı artırıldı, bazı ifadeler değişti. Yeni kurallar, birçok site sahibini sitelerinin yasalara nasıl uyduğu konusunda endişelendirdi. Anlamaya çalışalım.

Küçük bir arka plan bilgisi ile başlayalım. 152-FZ, Rusya'daki kişisel verilerle ilgili ilk modern yasadır. 2000 yılında geliştirilmeye başlandı ve 27 Temmuz 2006'da yürürlüğe girdi. Kanunun ana hükmü, bir kişinin kendisi hakkındaki bilgilerin herhangi bir amaçla işlenmesine zorunlu rızasıydı. 152-FZ'nin geliştirilmesi sırasında, yasanın halen yürürlükte olduğu iki yeni terim tanıtıldı - kişisel veriler konusu ve kişisel verilerin operatörü. Öznenin, belirli bilgiler kullanılarak kimliği belirlenebilen bir kişi olduğunu tahmin etmek kolaydır. Operatör hem bireysel hem de varlık, öznenin kişisel verilerine erişimi olan. Son tanım bizim için son derece önemli, bu yüzden üzerinde daha ayrıntılı duralım.

152-FZ kanunu uyarınca kim kişisel verilerin operatörü olarak kabul edilir?

Kamu otoriteleri ve Belediye, mahkemeler, eğitim ve tıbbi kurumlar, işverenler, kişisel hizmetler sunan tüm şirketler ve kuruluşlar: bankalar, hukuk firmaları, operatörler mobil iletişim, inşaat şirketleri, İnternet kaynaklarının tümü kişisel veri operatörleridir, çünkü insanların kişisel bilgilerine değişen derecelerde erişimleri vardır.

Kullanıcıların hangi kişisel verileri sitenizde olabilir?

Çoğu zaman, kişisel veriler (PD) şu anlama gelir:

• soyadı,
• yaş,
• Doğum yeri,
• bir fotoğraf,
• Konut adresi,
• telefon numarası.

Kişisel veriler ayrıca aşağıdakilerle ilgili bilgileri içerir:

• medeni durum hakkında
• dini, felsefi ve Politik Görüşler,
• samimi yaşam,
• sağlık durumu.

Anonimleştirilmiş kişisel veriler ve otomatik olarak toplanan bilgiler:

• e-posta,
• IP adresi
• coğrafi konum,
• kurabiye.

Sitede kişisel veri toplama şekilleri nelerdir?

• Kayıt formu.
• Sipariş formu.
• Geri bildirim formu.
• "Geri arama iste" düğmesi.
• E-posta dağıtımı için abonelik formu.

1 Temmuz 2017'deki değişikliklerden sonra cezaların boyutları

Makale numarası	Olası ihlaller	para cezası miktarı
İdari Suçlar Kanunu'nun 13.11. maddesinin 1. kısmı	Site ziyaretçilerinden belgelerin taranmasını istemek. Müşterinin izni olmadan SMS ve e-posta dağıtımı. Kullanıcıların sitede bir forma veri girme amacı ile ilgili her türlü yanlış bilgilendirilmesi.	fiziksel için kişiler - 3 tr'ye kadar. yasal için kişiler - en fazla 50 tr.
İdari Suçlar Kanunu Madde 13.11	IP adresleri ve çerezler dahil olmak üzere herhangi bir PD'nin işlenmesi, toplanması ve saklanması Elektronik İmza kullanıcılar. Sitede "Gizlilik Politikası" ve "Kullanıcı Sözleşmesi" belgelerinin olmaması. Hazırlanmasındaki hatalardan kaynaklanabilecek belgelerin kanunun gereklerine uymaması. Kullanıcı siteyi ilk ziyaret ettiğinde bir sorumluluk reddi beyanının olmaması.	fiziksel için kişiler - 5 tr'ye kadar yasal için kişiler - 75 tl'ye kadar
Bölüm 3 İdari Suçlar Kanunu Madde 13.11	Her site ziyaretçisi için Gizlilik Politikasına ücretsiz erişim eksikliği.	fiziksel için kişiler - 1,5 tr'ye kadar. IP için - 10 tr'ye kadar. yasal için kişiler - 30 tr'ye kadar.
4. Kısım İdari Suçlar Kanunu Madde 13.11	Kullanıcının kişisel verilerinin nasıl saklandığı ve işlendiği hakkında tam bilgi verme talebine yanıt olarak reddetme, görmezden gelme veya yalan söyleme.	fiziksel için kişiler - 2 tr'ye kadar IP için - 15 tl'ye kadar yasal için kişiler - 40 tr'ye kadar.
Bölüm 5 İdari Suçlar Kanunu Madde 13.11	Kullanıcının isteği üzerine PD'yi genel erişimden kaldırmayı reddetme. Konunun PD'nin işlenmesine ilişkin onayını geri çekme hakkını ihlal eden diğer eylemler.	fiziksel için kişiler - 2 tr'ye kadar IP için - 20 tr'ye kadar. yasal için kişiler - 45 tr'ye kadar.
Bölüm 6 İdari Suçlar Kanunu Madde 13.11	Hacker saldırısı, üçüncü şahıslar tarafından veri tabanı hacklenmesi, kullanıcıların kişisel verilerinin dağıtılması.	fiziksel için kişiler - 2 tr'ye kadar IP için - 20 tr'ye kadar. yasal için kişiler - 50 tr'ye kadar.

Bir suç işlendiğinde, para cezası eklenir. ek önlemler kaynağın engellenmesi ve ihlal edenin tutuklanması dahil olmak üzere cezalar.

Nasıl çalışır?

İhlalleri belirlemek için Roskomnadzor, sitelerin planlı, programsız (vatandaşların başvurularına göre) ve belgesel (belge talebiyle) kontrolleri yapar. Örneğin, Tambov Şehrinin 2016 yılındaki bir denetimi sırasında hukuk Bürosu» olmadan bir geri bildirim formu gönderdiği için para cezasına çarptırıldı eşlik eden belgeler ve 2017 kışında, bu tür ihlaller nedeniyle birkaç Astrakhan bölgesi para cezasına çarptırıldı.

Para Cezalarından ve Web Sitesi Engellemesinden Nasıl Kaçınılır: 5 Adım

1. Veritabanlarını Rus sunucularına aktarın. Bu, N149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruması Hakkında" yasasının bir gereğidir. Yasanın ihlali, kaynağın engellenmesine yol açabilir - örneğin bir işletme sosyal ağ LinkedIn.
2. İki belge hazırlayın - "Kişisel Veri İşleme Politikası" ve "Kullanıcı Sözleşmesi". Bunu not et halka arz gizlilik politikası belgesinin yerine geçer. Belgelerin maddi ve hukuki hatalar içermemesi son derece önemlidir. Bu işi emanet etmek en iyisidir profesyonel avukat. Yasanın 9. maddesi şöyle diyor: sanal belge bir belgeye eşdeğer basılı kopya, yani hayır fiziksel belgeler gerekli değil.
3. Formu, PD'nin işlenmesine izin vererek ve sitedeki kişisel verileri toplamak için tüm alanlara zorunlu bir onay kutusuyla bağlayın.
4. "Kişisel Veri İşleme Politikası"nın yer aldığı sayfanın sitenin her kullanıcısı tarafından okunabilmesini sağlayınız.
5. Roskomnadzor'a bir kağıt ve elektronik bildirim gönderin: öngörülen form- Roskomnadzor'un web sitesinde bulunabilir. Kanunun 22 nci maddesi uyarınca bu fıkra zorunludur.

Yasal yetkinliğinizden şüphe duyuyorsanız veya formalitelere çok fazla zaman harcamak istemiyorsanız, soruna daha basit ve daha pratik bir çözüm var - hizmet. Bu basit, ucuz ve hızlı karar web siteniz ve işiniz için.

Tekliflerimiz arasında, kesinlikle size uygun olanı seçebileceksiniz. Sorunun çözümünü geciktirmek istemiyorsanız, şimdi yapabilirsiniz. ortaya çıkan Yasal sorunlar destek servisimizi arayarak sorabilirsiniz 8 800 100 43 45 veya aşağıda yorum şeklinde.