Hastalık izni

152 fz yeni baskı. Federal "Kişisel Veriler Üzerine" Yasası: basit kelimelerle ana hükümler. Verilerin bireyler tarafından kullanımına aşağıdaki durumlarda izin verilir:

17.08.2019

Mevzuat durmuyor ve 1 Temmuz 2017'den bu yana, 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal "Kişisel Veriler Hakkındaki" Kanunun gerekliliklerine uyulmaması nedeniyle yeni para cezaları getirildi. 152). İdari sorumluluktan kaçınmak için bugün ne yapılması gerekiyor?

Kim cezalandırılabilir?

152-FZ sayılı Kanuna göre kişisel veri, doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir bir gerçek kişiye (kişisel veri konusu) ilişkin her türlü bilgidir.
Şebeke - Devlet kurumu, belediye yetkilisi, yasal veya bireysel kişisel verilerin işlenmesini organize eden ve (veya) yürüten diğer kişilerle bağımsız veya ortaklaşa, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, işlenecek kişisel verilerin bileşimi, kişisel verilerle gerçekleştirilen eylemler (işlemler).
Kişisel verilerin işlenmesi - kişisel verilerle otomasyon araçlarıyla veya bunlar olmadan gerçekleştirilen herhangi bir eylem veya eylemler dizisi: toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), alma, kullanma, aktarma (dağıtım, sağlama, erişim) , duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.
Kanun, ne tür verilerin kişisel olduğunu doğrudan belirtmez, ancak bunun bir kişiyle ilgili "herhangi bir bilgi" olduğu ifadesine dayanır:
- tam ad (birlikte ve hatta ayrı ayrı);
- Doğum tarihi;
- adres;
- telefon;
- e-posta;
- Fotoğraf;
- kişisel siteye bağlantı;
- sosyal ağlardaki profile bağlantı.
Tek kelimeyle, bir kişinin tanımlanabileceği herhangi bir veriden bahsediyoruz. Bu nedenle, bu tür verileri herhangi bir kombinasyonda bir şekilde alırsanız, kişisel veri denetleyicisi olursunuz. Aslında, geri bildirim formu olan herhangi bir site sahibi veya herhangi bir işveren kişisel veri operatörüdür ve sonuç olarak idari sorumluluğun altına düştüğü için 152 Sayılı Kanun gerekliliklerine uymakla yükümlüdür.
Şunu da belirtmek gerekir: Bir kişi, doğum günlerini kutlamayı hatırlamak için tanıdıklarının temaslarını bir deftere yazarsa, bu kişisel verilerin toplanması değildir. Aynı kişi bireysel girişimci olarak hareket ediyorsa, örneğin evde özel hizmetler veriyorsa, manikür yaptırıyor ve böyle bir kayıt tutuyorsa, bu kişisel verilerin toplanmasıdır. Bu durumda müşterilerden onay istenmeli ve varsa ifşadan sorumlu olmalıdır.

Neyi cezalandırabilirler?

Kim cezalandırabilir?

Kişisel verilerin işlenmesinin uygunluğunu kontrol ve denetlemekle görevlendirilen, kişisel verilerin konularının haklarının korunması için yetkili organ, Federal ajans yürütme gücü, bilgi teknolojisi ve iletişim alanında kontrol ve denetim işlevlerini yerine getirir. Şu anda, bu, İletişim, Bilgi Teknolojisi ve Kitle İletişim Araçları (Roskomnadzor) Alanında Federal Denetim Hizmetidir (16 Mart 2009 tarih ve 228 sayılı Rusya Federasyonu Hükümeti Kararnamesi “Kürede Federal Denetim Hizmeti Hakkında İletişim, Bilgi Teknolojisi ve Kitle İletişimi”).
Roskomnadzor tarafından planlanmış bir denetim 3 yılda bir defadan fazla yapılmaz. Bu nedenle, şirketinizde belirtilen süre içinde gerçekleştirilmişse ve gelecekte herhangi bir ihlal yapmadıysanız, yakın gelecekte bir denetim beklememelisiniz. Son 3 yıldır müfettişler sizi ziyaret etmediyse, ziyaretlerine hazırlanma zamanı gelmiştir. Ancak, kişilerin talebi veya şikayeti üzerine planlanmamış denetimleri asla unutmamalısınız. Ö planlanmamış denetim Roskomnadzor 24 saat önceden uyarır.
Not. Roskomnadzor'a ek olarak, Rostrud, işverenin kişisel veriler alanındaki mevzuat gerekliliklerine uygunluğunu kontrol edebilir. Ch hükümleri. Rusya Federasyonu İş Kanunu'nun 14'ü (152-FZ sayılı Kanun ile birlikte), çalışanların kişisel verilerinin işlenmesi için gereklilikleri tanımlar ve bunların korunmasını garanti eder. İş müfettişleri, iş müfettişleri ile ilgili protokoller hazırlamaya yetkilidir. idari suçlar Sanatta öngörülenler de dahil olmak üzere. İhlal durumunda Rusya Federasyonu İdari Suçlar Kanunu'nun 5.27'si İş hukuku(Madde 16, bölüm 2, Rusya Federasyonu İdari Suçlar Kanunu'nun 28.3 maddesi).
Federal Teknik Servis ve ihracat kontrolü(FSTEC), kriptografik araçlar haricinde, kişisel verilerin işlenmesine ilişkin teknik araçları denetler. Ayrıca, Rusya Federasyonu FSB'si, kişisel verilerin bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamak için kurumsal ve teknik önlemlerin uygulanmasını kontrol etme yetkisine sahiptir.
Savcılık, 17 Ocak 1992 tarih ve 2202-1 sayılı "Rusya Federasyonu Savcılığı Hakkında" Federal Kanunun 1. Maddesi uyarınca kişisel veriler alanında denetleme yetkilerine sahiptir.

Bir işveren hangi kişisel verileri alabilir?

Sanatın 1. Bölümüne göre. Rusya Federasyonu İş Kanunu'nun 57'si iş sözleşmesinde soyadını, adını, çalışanın soyadını, kimliğini kanıtlayan belgeler hakkındaki bilgileri, TIN'i belirtmelidir. Bu, her işverenin bir iş sözleşmesi imzalarken kişisel verilerle ilgili bilgileri aldığı anlamına gelir. Bu tür bilgiler, bir işe başvururken çalışan tarafından sunulan belgelerde bulunur:
- pasaportta;
- askeri kimlikte (askerler için);
- TIN tahsis belgesinde;
- sigorta emeklilik belgesinde;
- eğitim belgelerinde;
- içinde sürücü ehliyeti ve işçilik işlevinin yerine getirilmesiyle bağlantılı olarak gerekirse makine için belgeler;
- içinde tıbbi sertifika gerekirse çalışanın emek işlevinin performansıyla bağlantılı olarak tıbbi muayeneyi (tıbbi kitap) geçerken.
Tüm bu bilgiler kişisel verilerdir ve sadece çalışandan elde edilebilir. Eğer bir kişisel bilgi sadece üçüncü şahıslardan temin edilebilir, daha sonra önce çalışana bu konuda bilgi verilir ve ondan yazılı izin alınır. Aynı zamanda, kişisel verilerin elde edilmesinin amaçları, amaçlanan kaynakları ve yöntemleri hakkında çalışanı bilgilendirin. Ayrıca, toplanan kişisel verilerin niteliği ve çalışanın bunları almayı kabul etmeyi reddetmesinin sonuçları hakkında çalışanı bilgilendirin. Bu prosedür, Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. bölümünün 3. fıkrasında sağlanmıştır.
İşveren, doğrudan ilgili olmayan kişisel verileri toplama hakkına sahip değildir. emek faaliyetiçalışan, örneğin, din, siyasi bağlantılar hakkında bilgiler, yaşam koşulları vb. Bu bilgiler, bir vatandaşın kimseye açıklamama hakkına sahip olduğu kişisel veya aile sırrını oluşturur. Bu, Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. bölümünün 4. paragrafında ve 152 sayılı Kanun'un 10. maddesinde belirtilmiştir.
Kişisel verileri alan işveren, çalışanın rızası olmadan bunları dağıtmamayı veya üçüncü kişilere açıklamamayı taahhüt eder (152-FZ sayılı Kanun'un 7. Maddesi).

Not:
Kişisel dosyalar, dosya dolapları, muhasebe dergileri gibi çalışanların kişisel verilerini içeren tüm belgeler, özel donanımlı dolaplarda veya kilitli ve mühürlü kasalarda saklanmalıdır. İstihdam kitaplarıçalışanlar, kişisel dosyalarından ayrı bir kasada tutulmalıdır.

İşverene kişisel verilerin korunması nasıl sağlanır?

Çalışanların ve diğer kişilerin kişisel verilerinin korunması ile ilgili olarak çiftlikte yapılması gerekenleri düşünün.
1. İşveren, çalışanların kişisel verilerinin işlenmesinden önce bölgesel kurum Roskomnadzor, işleme niyeti hakkında. İstisna, kişisel veri işleme durumlarıdır:
- iş mevzuatına uygun olarak işlenmiş;
- çalışanlar tarafından kamuya açıklanmış;
- çalışanın taraf olduğu bir sözleşmenin akdedilmesiyle ilgili olarak kuruluş tarafından alınan (kişisel verilerin, çalışanın rızası olmadan üçüncü kişilere dağıtılmaması veya verilmemesi ve işveren tarafından yalnızca aşağıdakilerin yerine getirilmesi için kullanılması şartıyla), belirtilen sözleşme ve çalışanla diğer sözleşmelerin imzalanması);
- bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili;
- çalışanların sadece soyadları, adları ve patronikleri dahil;
- bir çalışanın işverenin topraklarına tek geçişi ve diğer benzer amaçlar için gerekli;
- federal yasalara uygun olarak, devlet otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde;
- uyarınca otomasyon araçları kullanılmadan işlenir yasama işlemleri kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması ve kişisel verilerin konularının haklarının gözetilmesi için gerekliliklerin belirlenmesi;
- Rusya'nın ulaşım güvenliği mevzuatının öngördüğü durumlarda işlenir.
Kişisel verileri işleme niyetinin bildirim formu ve doldurma prosedürü, 30 Mayıs 2017 tarih ve 94 sayılı Roskomnadzor Kararı ile onaylanmıştır. Ayrıca 152-FZ sayılı Kanun'un 22. Maddesinin 3. Kısmında bildirimde belirtilmesi gereken bilgilerin ayrıntılı bir listesi verilmektedir. İşveren tebligat gönderebilir kağıt formu Roskomnadzor'un bölgesel organına veya elektronik formatta kişisel veri portalı aracılığıyla (152-FZ sayılı Kanun'un 22. maddesinin 3. kısmı).
2. Kuruluşun yerel yasasında kişisel verileri alma, işleme, aktarma ve saklama prosedürünü düzeltin. Örneğin, çalışanların kişisel verilerinin işlenmesine ilişkin hükümde (Rusya Federasyonu İş Kanunu'nun 8. Maddesi, 87. Maddesi, 152-FZ sayılı Federal Yasanın 18.1 Maddesinin 1. Kısmının 2. maddesi).
Çalışanların kişisel verilerini işleme prosedürünü belirleyen yerel bir düzenleyici kanunun organizasyonunda bulunmaması, iş mevzuatının ihlalidir ve Sanat uyarınca idari sorumluluk gerektirir. Rusya Federasyonu İdari Suçlar Kanunu'nun 5.27'si (29 Ağustos 2011 tarihli Moskova Şehir Mahkemesinin kararları No. 4a-1743/11, 4a-1742/11, 27 Kasım 2006 tarih ve FAS MO No. KA-A40 / 11424-06 sayılı davada A40-17389 / 06-146- 165, 01.11.2006 tarihli, 08.11.2006 sayılı КА-А40/10787-06 sayılı davada А40-32068/06-96-156 sayılı davada.
3. Kişisel verilerle çalışmaktan sorumlu bir çalışan atayın (Rusya Federasyonu İş Kanunu'nun 88. maddesinin 5. kısmı). Bu, çalışanların kişisel dosyalarıyla etkileşime giren personel departmanının bir çalışanı olabilir. Kişisel verilerin işlenmesi, çalışan kartlarının bakımı vb. için çalışanların rızasını alacaktır.
4. Kişisel verilerin işlenmesi için bir onay şablonu hazırlayın. Bu olmadan, bireylerden kişisel bilgi talep edemezsiniz. Bu rıza aşağıdaki bilgileri içermelidir (152-FZ sayılı Kanun'un 9. Maddesinin 4. Kısmı):
- tam adı, çalışanın adresi, pasaportun detayları (kimliğini kanıtlayan diğer belgeler), belgenin veriliş tarihi ve yeri hakkında bilgiler dahil;
- çalışanın rızasını alan işverenin adı veya tam adı ve adresi;
- kişisel verilerin işlenme amacı;
- işlenmesi için onay verilen kişisel verilerin bir listesi;
- işleme böyle bir kişiye emanet edilmişse, işveren adına kişisel verilerin işlenmesini gerçekleştiren kişinin adı veya tam adı ve adresi;
- onay verilen kişisel veriler içeren eylemlerin bir listesi, Genel açıklama işveren tarafından kişisel verileri işlemek için kullanılan yöntemler;
- federal yasa tarafından aksi belirtilmedikçe, çalışanın rızasının geçerli olduğu süre ve geri çekilme yöntemi;
- İşçinin imzası.
Çalışanın kişisel verilerinin aktarımı için rızası gerekli değildir:
- çalışanın yaşamı ve sağlığına yönelik bir tehdidi önlemek için üçüncü şahıslara;
- vergi makamlarına;
- askeri komiserler;
- işverenin iş kanunlarına uygunluğunu izlemek için sendikaların talebi üzerine;
- savcılığın gerekçeli talebi üzerine;
- motive edilmiş istek üzerine kanun yaptırımı ve güvenlik kurumları;
- talep üzerine devlet müfettişleri denetim ve kontrol faaliyetlerinin uygulanmasında emek;
- Ölümlü kaza dahil ciddi bir kazanın bildirilmesi gereken makam ve kuruluşlara;
- çalışanın performansı ile ilgili durumlarda resmi görevler, bir iş gezisine gönderildiğinde dahil olmak üzere;
- hizmet veren bankaya bilgi sağlamak banka kartlarıçalışanlar, kart düzenleme sözleşmesinde ( toplu iş sözleşmesi, yerel normatif eylem kuruluş) işverenin devretme hakkına ilişkin bir madde içerir.
çalışanların veya işverenin kişisel verileri, çalışanların çıkarlarını temsil etmek için bir vekaletname temelinde hareket eder.
Diğer tüm durumlarda, kişisel verilerin aktarımı, çalışanın kişisel verilerinin kime ve hangi amaçla aktarılacağının açık olması gereken yazılı rızası ile yapılır.
Ayrıca işveren, kişisel verileri alan kişileri bu bilgilerin yalnızca verildiği amaçlar için kullanılabileceğini uyarmak ve bu kişilerden, bu kural gözlemlendi.

Sitede kişisel verilerle nasıl çalışılır?

Eylemler aslında aynı.
1. Roskomnadzor'a kişisel veri işleme bildirimi gönderin.
2. Sitenizde herhangi bir kişisel veri toplama şekliniz varsa, her birinin altına “Kişisel verilerimin işlenmesine izin veriyorum” cümlesini ve bir onay kutusu koymanız gerekir.
3. “Kişisel verilerimin işlenmesine izin veriyorum” cümlesine, kişisel verilerin işlenmesine ilişkin koşulları belirten bir belgeye bir köprü ile eşlik edin. Bu, bir kullanıcı sözleşmesi, kişisel verilerin işlenmesine izin verilmesi veya bir sözleşme, bir gizlilik politikası veya bir teklifin parçası olabilir - isim çok önemli değildir.
4. Belgenin metnini, kişisel verilerin işlenmesine ilişkin koşullarla birlikte hazırlayın. (yukarıda açıklanan 152-FZ sayılı Kanun'un 9. Maddesine göre).
5. Kişisel Veri İşleme Politikası (İşletmecinin bu yükümlülüğü açıkça belirtilmiştir) adlı bir belge hazırlayın.
Sanatın 2. paragrafında. 152-FZ sayılı Federal Yasanın 18.1'i) ve web sitesine ücretsiz erişime yerleştirin.

Kanunları çiğnemekten kaçınmanıza başka ne yardımcı olabilir?

1. Bir kişinin talebi üzerine, onun hakkında hangi verilere sahip olduğunuzu, bunların nasıl ve neden işlendiğini ve bunları kime aktardığınızı bize bildirin.
2. Kişisel verileri veri tabanınızda saklanan kişinin ilk talebi üzerine verileri silin.
3. Veritabanlarını güvenli bir yerde saklayın, bilgisayar korsanlığı ve sızıntıya karşı koruyun (gereklilikler kanunla tanımlanmıştır!).
4. Çalışanları kişisel verilerle çalışacak şekilde eğitin.
5. Başka firmalara ait belgeleri işleme koymadan kullanmayınız. Şablon olarak kullanılabilirler ancak verilerin listesi ve kişisel verilerin kullanım amaçları belirtilmelidir. Bir matbaanın sipariş vermesi veya bir ürünü teslim etmesi için bir çevrimiçi mağazanın ihtiyaç duyduğu şey, bir e-posta bülteni için gerekli olmayacaktır. Gereksiz verilerin talep edilmesi yasanın ihlali olarak değerlendirilebilir ve para cezası ile sonuçlanabilir.
6. Ve en önemlisi: şirketin faaliyetlerini analiz edecek, tüm eksiklikleri ve ihlalleri tespit edecek ve gerekli tüm belgelerin hazırlanmasına yardımcı olacak, Roskomnadzor'un bölgesel organını bilgilendirecek uzmanları dahil etmek daha iyidir.

Materyal ATP Consultant Plus yardımıyla hazırlanmıştır.
"Tarım Hukuku" değerlendirme listesinin ortağı

1 Temmuz 2017'den bu yana, bireylerin kişisel verileriyle etkileşime girerken ihlallere ilişkin sorumluluk önemli ölçüde sıkılaştırıldı. Bu, 7 Şubat 2017 tarihli 13-FZ sayılı Federal Kanun hükümlerinden kaynaklanmaktadır). Değişiklikler, istisnasız olarak, çalışanların ve bireysel yüklenicilerin kişisel verilerinin işlenmesiyle ilişkili olan tüm işverenleri etkileyecektir. Ayrıca değişikliklerin, bireylerin kişisel verileriyle etkileşime giren iş dünyasının neredeyse tamamı (örneğin, ziyaretçilerin kişisel verilerini toplayan site sahipleri) için geçerli olduğu söylenebilir. Değişime nasıl hazırlanılır? Cezalar artacak mı? Kişisel verilerin işlenmesindeki ihlalleri kim tespit edecek? Anlayalım.

Kişisel veriler: özel bilgiler

Çalışanların kişisel verileri, iş ilişkisi ile bağlantılı ve işveren için gerekli olan her türlü bilgidir. belirli çalışan(27 Temmuz 2006 tarihli ve 152-FZ sayılı “Kişisel Veriler Hakkında” Federal Yasasının 1. maddesi, 3. maddesi).

İşverende (kuruluş veya bireysel girişimci), çalışanların kişisel verileri çoğu zaman kişisel kartlarında ve kişisel dosyalarında özetlenir. Aynı zamanda hemen her İK yöneticisi veya İK uzmanı, kişisel verilerin ancak çalışanlardan kişisel olarak elde edilebileceğini bilir. Kişisel bilgiler yalnızca üçüncü şahıslardan elde edilebiliyorsa, o zaman Rus mevzuatıçalışanı bu konuda bilgilendirmek ve ondan yazılı onay almakla yükümlüdür (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. bölümünün 3. maddesi).

İşverenler, bir kişinin iş faaliyeti ile doğrudan ilgili olmayan kişisel verileri alma ve işleme hakkına sahip değildir. Yani, örneğin çalışanların dini hakkında bilgi toplamak mümkün değildir. Ne de olsa, bu tür bilgiler kişisel veya aile sırrıdır ve hiçbir şekilde çalışma görevlerinin yerine getirilmesiyle bağlantılı olamaz (Rusya Federasyonu İş Kanunu'nun 86. maddesinin 1. bölümünün 4. paragrafı).

Kişisel verileri alan işveren, yasanın gerekleri gereği, bunları çalışanın rızası olmadan üçüncü kişilere dağıtmamak veya açıklamamakla yükümlüdür (27 Temmuz 2006 tarihli ve 152 sayılı Federal Kanunun 7. Maddesi- FZ).

Kişisel veriler, belirli bir kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili herhangi bir bilgi olarak anlaşılabilir - 27 Temmuz 2006 tarihli 152-FZ sayılı Federal Yasanın 3. maddesinin 1. paragrafı. Bu tür bilgilere örnek olarak soyadı, adı, soyadı, doğum tarihi ve yeri, ikamet yeri vb.

İşverenlerin kişisel verileri nasıl korumaları gerekir?

Kişisel verilere erişimi korumak ve kısıtlamak için işveren, bunların korunması için yüksek kaliteli ve modern bir sistem sağlamalıdır. Tam olarak nasıl yapılır? Bu soruya her işveren bağımsız olarak karar verir. Aynı zamanda, kişisel verilerin alınması, işlenmesi, aktarılması ve saklanması prosedürü, örneğin, çalışanların kişisel verilerinin işlenmesine ilişkin Yönetmelikte (İşgücü Madde 8, 87) kuruluşun yerel bir eyleminde yer almalıdır. Rusya Federasyonu Kanunu, madde 2, bölüm 1, 27 Temmuz 2006 tarih ve 152-FZ sayılı Federal Kanunun 18.1 maddesi).

Ayrıca, işveren, kişisel verilerle çalışmaktan sorumlu bir çalışanı resmi olarak atamalıdır (Rusya Federasyonu İş Kanunu'nun 88. maddesinin 5. kısmı). Örneğin, kişisel dosyalarla etkileşime giren, çalışanların işlem için onayını alan, çalışan kartlarını muhafaza eden, vb. Personel departmanının bir çalışanı olabilir.

İşverenin kişisel verilerin kendisi tarafından işlenmesine ilişkin kontrolleri, Roskomnadzor'un bölümleri tarafından gerçekleştirilir. Rusya Telekom ve Kitle İletişim Bakanlığı'nın 14.11.2011 tarih ve 312 sayılı emri onaylandı İdari düzenleme Roskomnadzor tarafından uygulanacak işlevlerin performansı devlet kontrolü(nezaret).

İşverenler için hangi sorumluluk geçerlidir?

Çalışanların kişisel verilerini edinme, işleme, saklama ve koruma prosedürünün ihlali için disiplin, maddi, idari ve cezai sorumluluk sağlanır (Rusya Federasyonu İş Kanunu'nun 90. Maddesi, Federal Yasanın 24. maddesinin 1. 27 Temmuz 2006 No. 152-FZ). Bu sorumluluk türlerinin her birine bakalım.

disiplin sorumluluğu

Kişisel verilerle çalışırken ihlallere ilişkin disiplin sorumluluğu, iş ilişkileri kişisel verilerle çalışma kurallarına uymakla yükümlüdür, ancak bunları ihlal etmiştir (Rusya Federasyonu İş Kanunu'nun 192. Maddesi). Yani, örneğin ilgili işle görevlendirilen personel departmanının yöneticisini sorumlu tutabilirsiniz. Arka disiplin suçu kişisel verilerin toplanması, işlenmesi ve saklanması, işveren, çalışanını aşağıdaki cezalardan birini uygulayarak cezalandırabilir (Rusya Federasyonu İş Kanunu'nun 192. maddesinin 1. kısmı):

  • yorum;
  • azarlamak;
  • işten çıkarma.

maddi sorumluluk

Kişisel verilerle çalışma kurallarının ihlali ile bağlantılı olarak, bir kuruluşun doğrudan fiili hasara neden olması durumunda, bir çalışanın maddi sorumluluğu ortaya çıkabilir (Rusya Federasyonu İş Kanunu'nun 238. Maddesi). Personel departmanının sorumlu çalışanının izin verdiğini varsayalım. ağır ihlal- İnternette çalışanların kişisel verilerinin yayılması. Bunu öğrenen işçiler, işverene karşı “yaralanan işçilere tazminat ödenmesine” hükmeden bir dava açtılar. maddi tazminat- Her biri 50.000 ruble. Böyle bir durumda, işveren, personel departmanının suçlu çalışanına aylık ortalama kazancı sınırları dahilinde sınırlı maddi sorumluluk getirme fırsatına sahiptir (Rusya Federasyonu İş Kanunu'nun 241. Maddesi). Neden olunan hasarın geri kazanılması, çalışanın neden olduğu hasar miktarının kesin olarak belirlendiği tarihten itibaren en geç bir ay içinde başkanın emriyle gerçekleştirilebilir. Aylık süre sona ermişse, hasarı mahkeme yoluyla tazmin etmeniz gerekecektir. Bu prosedür, Rusya Federasyonu İş Kanunu'nun 248. Maddesinde belirtilmiştir.

Ayrıca okuyun Bir birey nasıl tanınır vergi borcu TIN tarafından

Tam sorumlulukla, çalışan, kişisel veriler alanındaki ihlallerle bağlantılı olarak meydana gelen zararın tamamını kuruluşa tam olarak geri ödemek zorunda kalacaktır (Rusya Federasyonu İş Kanunu'nun 242 ve 243. Maddeleri). Ancak, kural olarak, kişisel verilerin işlenmesinden sorumlu çalışanlar tam olarak sorumlu değildir.

İşverenin disiplin ve mali sorumluluğu (örneğin, ticari kuruluş) kendi takdirine bağlı olarak kullanılır. Devlet düzenleyici kurumları (Roskomnadzor dahil) bu sürece katılmaz.

İdari sorumluluk

İşveren ve yetkililerin kişisel verilerini toplama, saklama, kullanma veya dağıtma prosedürünün ihlali için düzenleyici makamlar, aşağıdakilere varabilecek para cezaları şeklinde idari olarak sorumlu tutulabilir:

  • memurlar için (örneğin, CEO, baş muhasebeci, personel memuru veya Bireysel girişimci): 500 ila 1000 ruble;
  • bir kuruluş için: 5.000 ila 10.000 ruble.

Resmi veya profesyonel görevlerin yerine getirilmesiyle bağlantılı olarak kişisel verileri ifşa eden yetkililer için ayrı (bağımsız) bir para cezası 4.000 ila 5.000 ruble arasında değişmektedir. Bu tür sorumluluk önlemleri, Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11 ve 13.14. Maddelerinde açıklanmıştır.

cezai sorumluluk

Şirketin direktörü, baş muhasebecisi veya insan kaynakları departmanı başkanı veya kişisel verilerle çalışmaktan sorumlu başka bir kişi için yasa dışı eylemler nedeniyle cezai sorumluluk ortaya çıkabilir:

  • bir çalışanın kişisel veya aile sırrını oluşturan özel hayatı hakkında rızası olmadan bilgi toplama veya yayma;
  • halka açık bir konuşmada, halka açık bir çalışmada veya medyada çalışan hakkında bilgilerin yayılması.

Kişisel verilerin işlenmesi açısından bu tür ihlaller için aşağıdaki cezai sorumluluk önlemlerine izin verilir:

  • 200.000 rubleye kadar para cezası (veya hükümlünün 18 aya kadar olan geliri kadar);
  • 360 saate kadar zorunlu çalışma;
  • bir yıla kadar ıslah işçiliği;
  • belirli pozisyonlarda bulunma veya çalışma hakkından yoksun bırakılarak iki yıla kadar zorunlu çalıştırma belirli faaliyetlerüç yıla kadar veya onsuz;
  • dört aya kadar tutuklama;
  • üç yıla kadar belirli pozisyonlarda bulunma veya belirli faaliyetlerde bulunma hakkından yoksun bırakma ile iki yıla kadar hapis cezası.

Resmi makamını kullanan bir kişi tarafından işlenen aynı fiiller daha ağır şekilde cezalandırılır:

  • 100.000 ila 300.000 ruble arasında para cezası. (veya bir ila iki yıllık bir süre için hükümlünün geliri miktarında);
  • iki ila beş yıllık bir süre için belirli pozisyonlarda bulunma veya belirli faaliyetlerde bulunma hakkından yoksun bırakma;
  • beş yıla kadar belirli pozisyonlarda bulunma veya belirli faaliyetlerde bulunma hakkından yoksun bırakılarak veya yoksun bırakılmaksızın dört yıla kadar zorla çalıştırma;
  • dört ila altı aylık bir süre için tutuklama;
  • beş yıla kadar belirli pozisyonlarda bulunma veya belirli faaliyetlerde bulunma hakkından yoksun bırakılarak dört yıla kadar hapis cezası (Rusya Federasyonu Ceza Kanunu'nun 137. Maddesi).

1 Temmuz 2017'den itibaren neler değişecek?

federal yasa 07.02'den itibaren. 2017 No. 13-FZ, kişisel verilerin korunması alanında işvereni idari sorumluluğa getirme gerekçelerinin listesini genişletti ve miktarı da artırdı. idari para cezaları. Bu yasa 1 Temmuz 2017'de yürürlüğe giriyor. Hemen diyelim ki kişisel veriler alanında idari sorumluluk önemli ölçüde sıkılaştırıldı. Aynı zamanda, aşağıdakiler önemlidir: Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinde açıklanan tek tür idari sorumluluk yerine, yedi görünecektir. Böylece kişisel veriler alanında işverenlerin çeşitli ihlalleri için başvuru yapılabilecektir. çeşitli para cezaları. Farklı kompozisyonlar için birkaç ihlal varsa, buna göre para cezalarının sayısı artabilir. Yeni suçları daha ayrıntılı olarak açıklayalım.

İhlal 1: Kişisel verilerin “diğer” amaçlarla işlenmesi

1 Temmuz 2017'den itibaren, kişisel verilerin kanunda öngörülmeyen hallerde işlenmesi veya kişisel verilerin toplanması amaçlarıyla bağdaşmayan kişisel verilerin işlenmesi, bağımsız idari ihlal türleridir (Tüzük'ün 13.11. maddesinin 1. bölümü). Rusya Federasyonu İdari Suçlar Bölümü). Bir örnek verelim: bir işveren kuruluşu, çalışanların kişisel verilerini toplar ve bu verileri reklam amacıyla üçüncü şahıs şirketlere aktarır (isimler, telefon numaraları, ikamet edilen bölgeler, gelir düzeyi aktarılır). Ardından reklam firmaları telefon, e-posta ve ev adresleri aracılığıyla çalışanlara çeşitli spam ve promosyon teklifleri göndermeye başlar. İşverenin bu tür eylemleri ceza külliyatını ortaya çıkarmazsa, idari sorumluluğun uygulanması mümkün olacaktır. 1 Temmuz 2017'den itibaren idari ceza aşağıdaki gibi olabilir:

  • veya uyarı;
  • veya para cezaları.

İhlal 2: kişisel verilerin rıza olmaksızın işlenmesi

Kişisel verilerin işveren tarafından işlenmesi, Genel kural, ancak çalışanların yazılı onayı ile mümkündür. Bu rıza aşağıdaki bilgileri içermelidir (27 Temmuz 2006 tarih ve 152-FZ sayılı Kanunun 9. Maddesinin 4. Kısmı):

  • Tam adı, çalışanın adresi, pasaportun detayları (kimliğini kanıtlayan diğer belge), belgenin düzenlenme tarihi ve veren makam hakkında bilgiler dahil;
  • çalışanın rızasını alan işverenin (işletmecinin) adı veya tam adı ve adresi;
  • kişisel veri işlemenin amacı;
  • işlenmesi için onay verilen kişisel verilerin bir listesi;
  • işleme böyle bir kişiye emanet edilmişse, işveren adına kişisel verilerin işlenmesini gerçekleştiren kişinin adı veya tam adı ve adresi;
  • rıza verilen kişisel veriler içeren eylemlerin bir listesi, işveren tarafından kişisel verileri işlemek için kullanılan yöntemlerin genel bir açıklaması;
  • federal yasa tarafından aksi belirtilmedikçe, çalışanın rızasının geçerli olduğu süre ve geri çekilme yöntemi;
  • çalışanın imzası.

1 Temmuz 2017 tarihinden itibaren, kişisel verilerin çalışanın yazılı rızası olmaksızın işlenmesi veya yazılı rızanın yukarıda belirtilen bilgileri içermemesi durumunda, bağımsız bir idari ihlal Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinin 2. Kısmında belirtilmiştir. Bunun için cezalar mümkündür:

İhlal 3: gizlilik politikasına erişim

Kişisel verilerin operatörü (örneğin, bir işveren veya bir web sitesi), kişisel verilerin işlenmesine ilişkin politikasını tanımlayan bir belgeye, kişisel verilerin korunması için uygulanan gereklilikler hakkında bilgilere yayınlamak veya başka bir şekilde sınırsız erişim sağlamakla yükümlüdür. İnternette kişisel verileri toplayan bir operatör (örneğin, bir web sitesi aracılığıyla), kişisel verilerin işlenmesine ilişkin politikasını tanımlayan bir belge ve kişisel verilerin korunmasına ilişkin gereksinimler hakkında bilgi yayınlamakla yükümlüdür. uygulanır ve bu belgeye erişim sağlar. Bu, 27 Temmuz 2006 tarihli 152-FZ sayılı Kanunun 18.1 maddesinin 2. paragrafı ile sağlanmıştır.

Pek çok İnternet kullanıcısı uygulamada bu zorunlulukla karşı karşıyadır. Yani örneğin sitelere herhangi bir uygulama bırakıp tam adınızı ve e-posta adresinizi belirttiğinizde linke dikkat edebilirsiniz. benzer belgeler: "Kişisel veri işleme politikası", "Kişisel verilerin işlenmesine ilişkin mevzuat" vb. Ancak, bazı sitelerin bunu ihmal ettiğini ve herhangi bir bağlantı sağlamadığını kabul etmekte fayda var. Ve bir kişinin siteye bir istek bıraktığı, sitenin kişisel verileri hangi amaçlarla topladığını bilmediği ortaya çıktı.

Bazı işverenler ayrıca web sitelerinde açık pozisyonlar yayınlar ve adayları bir "Hakkımda" formu doldurmaya davet eder. Bu gibi durumlarda internet sitesi ayrıca "Kişisel Veri İşleme Politikası"na erişim sağlamalıdır.

1 Temmuz 2017'den bu yana, Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 3. bölümünde, bağımsız bir suç seçildi - operatör tarafından işleme politikası olan bir belgeye sınırsız erişim sağlamaması veya yayınlamaması kişisel verilerin veya bunların korunmasına ilişkin bilgilerin Bu madde kapsamındaki sorumluluk, bir uyarı veya idari para cezası gibi görünebilir:

İhlal 4: bilgilerin saklanması

Kişisel verilerin konusu (yani bu verilerin sahibi olan kişi), içeriği de dahil olmak üzere kişisel verilerinin işlenmesi hakkında bilgi alma hakkına sahiptir (27 Temmuz 2006 tarihli ve 152 sayılı Kanun'un 14. maddesinin 7. bölümü). -FZ):

  1. operatör tarafından kişisel verilerin işlendiği gerçeğinin teyidi;
  2. kişisel veri işlemenin yasal dayanakları ve amaçları;
  3. operatör tarafından kişisel verilerin işlenmesi için kullanılan amaçlar ve yöntemler;
  4. operatörün adı ve yeri, kişisel verilere erişimi olan veya operatörle yapılan bir anlaşma veya federal yasa temelinde kişisel verilerin ifşa edilebileceği kişiler (operatörün çalışanları hariç) hakkında bilgiler;
  5. federal yasa tarafından bu tür verilerin sağlanması için farklı bir prosedür öngörülmediği sürece, kişisel verilerin ilgili konusuna ilişkin işlenmiş kişisel veriler, bunların alındığı kaynak;
  6. saklama koşulları da dahil olmak üzere kişisel verileri işleme koşulları;
  7. kişisel verilerin konusunun bu Federal Yasa ile sağlanan hakları kullanma prosedürü;
  8. gerçekleştirilen veya önerilen sınır ötesi veri aktarımı hakkında bilgi;
  9. Operatör adına kişisel verileri işleyen kişinin adı veya soyadı, adı, soyadı ve adresi, eğer işleme böyle bir kişiye emanet edilmişse veya verilecekse;
  10. Federal Yasa veya diğer federal yasalar tarafından sağlanan diğer bilgiler.

Rusya Federasyonu mevzuatı, vatandaşların kişisel verilerinin korunmasını garanti eden düzenlemeler içermektedir. İlgili türdeki ana hukuk kaynağı, 152-FZ sayılı Federal Kanun'dur. Rusların kişisel verilerinin dolaşımının uygulanmasını yeterince ayrıntılı olarak düzenleyen hükümler içermektedir. Bunlardan hangisine anahtar denilebilir? 152 Sayılı Federal Yasanın anlamı nedir?

Yönetmeliğin kapsamı

152-FZ sayılı "Kişisel Veriler Hakkında Kanun", esas olarak kişisel nitelikteki bilgilerin işlenmesiyle ilişkili yasal ilişkiler için geçerlidir. Bir kişinin tam adını, adresini, telefon numarasını, pasaport verilerini içerebilir. Söz konusu kanunla korunan kişisel veriler hem tüzel kişiler hem de gerçek kişiler tarafından işlenebilmektedir. PD ayrıca biyometrik olabilir, yani bir vatandaşın parmak izi veya gözlerinin retinasının anlık görüntüsü olabilir.

PD düzenlemesinin anlamı nedir?

152 Sayılı “Kişisel Veriler Hakkındaki” Federal Kanunun ana fikri, PD sahibi olan bir vatandaşın ilgili verileri kimlerin ve nasıl kullanmasına izin vereceğini kendisi belirleyebilmesidir. Yani uygun izin alınmadığı takdirde, başka bir kişinin başka bir konuya ait PD'yi hiçbir şekilde işleme hakkı yoktur. Kanun, bu kurala bir takım istisnalar getirmektedir. Makalede ayrıca, bu yönü ve 152-FZ sayılı Kanun hükümlerinin uygulanmasının diğer özelliklerini daha ayrıntılı olarak ele alacağız.

Çoğu zaman, PD cirosu, şirketler, çeşitli seviyelerde yetkililer ve servis departmanları istihdam ederek gerçekleştirilir. Bu nedenle “Kişisel Veriler Hakkındaki” kanunu en dikkatli şekilde incelemeli ve çalışmalarının kanun hükümlerine uygun olmasını sağlamalıdır. Öncelikle belirtilen normatif eylemde yer alan hangi normlara dikkat edilmesi gerektiğini ele alalım.

152 Sayılı Federal Kanunun temel normları

"Kişisel Veriler Üzerine" (152-FZ) yasasını incelerken, öncelikle ona yansıyan terminolojiyi anlamanız gerekir. Böyle, Anahtar kavramlarİlgili hukuk kaynağını içeren , aşağıdakiler düşünülebilir:

  • uygun "kişisel veriler" - bir bireye ilişkin herhangi bir bilgi olarak tanımlanır;
  • "kişisel veri operatörü" - PD'nin işlenmesiyle uğraşan bir kuruluş veya kişi;
  • "bilgi sistemi" - PD'nin yerleştirildiği bir kaynak.

Kanunun, PD kavramının yeterince geniş bir yorumunu sağladığı belirtilebilir - tanımları için net bir kriter yoktur. Bu, birçok avukata göre, vatandaşların kişisel bilgilerinin korunma seviyesini önemli ölçüde artırıyor, çünkü yasa hükümleri nedeniyle neredeyse tüm türleri kişisel veri olarak sınıflandırılabiliyor.

PD ile işlemler

KV mevzuatı, prensip olarak ilgili verilerle gerçekleştirilebilecek işlemleri düzenler:

  • Yayılmış;
  • karşılık;
  • engelleme;
  • duyarsızlaşma;
  • sınır ötesi transfer;
  • yıkım.

"Kişisel Veriler Hakkında Kanun", PD operatörlerinin belirtilen eylemler tabi:

PD'nin Gizliliği (yasalarca aksi belirtilmedikçe);

PD bütünlüğü.

Yani, kişisel veriler, öncelikle yetkisiz görüntülemeye karşı, ikinci olarak da imha veya hukuka aykırı düzenlemelere karşı korunmalıdır. PD'nin fiili korumasının 152-FZ sayılı Kanun normlarına göre nasıl yapılması gerektiğini inceleyelim.

152-FZ Sayılı Kanun kapsamında kişisel verilerin korunması

Kanunla öngörülen ana yükümlülüğün yerine getirilmesi, PD operatörü aşağıdakilerin yardımıyla gerçekleştirmelidir:

  • verileri yetkisiz okuma ve değişiklikten korumak için gelişmiş teknolojik çözümlerin uygulanması;
  • yasal bilgi koruma yöntemlerinin uygulanması.

karar vermek belirtilen görevler, PD operatörü, "Kişisel Verilerin Korunması Hakkında" kanunun öngördüğü şekilde:

  • işlediği bilgileri güvenlik seviyelerine göre sınıflandırmak;
  • kişisel veri taşıyıcılarının kalitesi için gereklilikler oluşturmak;
  • biyometrik verilerin güvenliği için belirli kriterleri tanımlar.

PD'nin işlenmesine başlamadan önce, operatörün emrindeki ilgili bilgileri edinmesi gerekir. Bunu yasal olarak nasıl yapabilir?

Bir PD sahibi bunların kullanımına nasıl izin verebilir?

Ana ve birçok durumda tek yol PD sahibinin kişisel verilerini operatörün tasarrufuna aktarabileceği yardımıyla - yazı işlenmesine rıza gösterirler. Kural olarak, bir kişinin işlenmek üzere vermeye hazır olduğu PD'yi listelediği, onayladığı PD'nin işlenme yöntemlerini belirttiği bir ifadedir.

"Kişisel Veriler Yasası" bazı durumlarda uygun bir onayın verilmesini gerektirmez - örneğin, bir çalışanın işe kaydedilmesi söz konusu olduğunda. Bununla birlikte, uygulamada, çalışan istihdam eden birçok şirket hala onlardan PD'nin işlenmesine izin vermelerini istemektedir. Bu büyük ölçüde, resmi olarak tüm operasyon türlerinin olmaması gerçeğinden kaynaklanmaktadır. personel belgeleri"Kişisel verilerin korunmasına ilişkin" kanunda yer alan istisnalar kapsamına girer. Listelerini ayrı ayrı değerlendirmek faydalı olacaktır.

PD, sahibinin izni olmadan hangi durumlarda işlenebilir?

Federal Yasa 152 "Kişisel Veriler Üzerine", aşağıdaki durumlarda ilgili bilgilerin işlenmesi için PD operatörünün sahibinden izin alması gerekmediğini belirler:

  • herhangi bir federal yasanın hükümleri nedeniyle;
  • PD operatörü ve sahibi arasında imzalanan bir anlaşmanın yürütülmesi için;
  • istatistiksel veri toplamak amacıyla veya bilimsel araştırma yürütürken - ancak PD'nin anonim hale getirilmesi şartıyla;
  • içinde acil durum PD sahibine yardım sağlanması gerektiğinde;
  • posta göndermek amacıyla;
  • sağlayıcılar ve PD sahibi olan müşterileri arasındaki anlaşmalar için;
  • gazetecilik faaliyetleri çerçevesinde;
  • devlet ve belediye çalışanlarının faaliyetlerini düzenleyen yasalara uygun olarak.

PD operatörlerinin 152 sayılı Federal Yasanın gerekliliklerine uyumu, yetkili devlet makamları tarafından kontrol edilebilir. Bu yönü daha ayrıntılı olarak inceleyelim.

152 Sayılı Federal Kanun hükümlerinin uygulanması üzerinde kontrol

"Kişisel Veriler Hakkında Kanun" (152-FZ), hükümlerinin uygulanması üzerindeki kontrolün yetkili makam tarafından gerçekleştirilmesi gerektiğini belirler. üzerinde çalışır Federal düzey ve bu nedenle, çeşitli bölgesel departmanlar ona tabidir. bu vücut yetkililer şu haklara sahiptir:

  • kendisi için belirlenen yetkilerin uygulanması için gerekli bilgileri kişi ve kuruluşlardan almak;
  • PD işleme bildirimlerinde yer alan bilgileri kontrol edin;
  • başkalarıyla iletişime geç Devlet kurumları görevleri çözmede yardım için;
  • PD operatörüne, güvenilmez olarak kabul edilen veya yasa dışı olarak işlenmek üzere alınan verileri düzeltmesi, engellemesi veya imha etmesi talimatını vermek;
  • başvurmak yargı PD sahiplerini koruma ve duruşma sürecinde çıkarlarını temsil etme iddiaları ile;
  • PD'yi işleyen kişinin yasanın gerekliliklerini ihlal etmesi durumunda, ilgili izinlerin iptal edilmesi amacıyla PD operatörleri için lisans veren makamlarla etkileşimde bulunmak;
  • vatandaşların kişisel verilerinin korunması konusunda savcılık ve kolluk kuvvetleri ile etkileşim kurmak;
  • PD alanındaki mevzuatı iyileştirmek için Rusya Federasyonu Hükümetine önlemler önermek;
  • müdahil olmak idari prosedür 152 sayılı Federal Yasanın normlarını ihlal eden kişilerin sorumluluğundadır.

Özet

Böylece, "Kişisel Veriler Hakkında" 152-FZ yasası ayrıntılı bir liste oluşturur. yasal düzenlemeler ciroyu korumak kesin bilgi vatandaşlar hakkında. PD'nin özünü, sahiplerinin ve operatörlerinin durumunu tanımlar. Ana görev"Kişisel Veriler Üzerine" federal yasa ile çözülen - vatandaşların kişisel bilgilerinin üçüncü şahısların çıkarları için kullanılmasından korunması.

İlgili Federal Yasanın hükümleri, bir kişinin PD'sinin işlenmesine rıza göstermesi gerektiğini ve ilgili verilerin operatörünün yalnızca yasada belirtilen durumlarda PD talep etme hakkını aldığını göstermektedir. Ayrıca, söz konusu yasa, vatandaşların kişisel verilerini kullanan kişilerin yeterli düzeyde korunmalarını sağlamasını şart koşuyor.

İlk kriterle ilgili olarak, istisnalar vardır - bunlar da yasada yer alır. "Kişisel Veriler Üzerine" Federal Yasa, aşağıdakileri çıkarmanıza izin veren oldukça ilerici bir yasal işlemdir. yasal mekanizmalar vatandaşların çıkarlarını yeni bir düzeye kadar korumak. İhlalleri için yaptırımlar çok ciddi olabilir, bu nedenle PD operatörleri: işverenler, hizmet sağlayıcılar ve bir vatandaşın kişisel verileriyle çalışan diğer firmalar, ilgili yasanın hükümlerini dikkatlice incelemelidir.

Alexey Anashkin
Öncü uzman
" Kapsamlı koruma bilgi"

27 Temmuz 2006 kabul edildi 152-FZ Sayılı Federal Kanun "Kişisel Veriler Hakkında" mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamak. Bu yasanın kabul edilmesinin nedenlerinden biri, devlet ve ülkelerde kişisel veri tabanlarının çalınmasına ilişkin çok sayıda gerçekti. ticari yapılar, onların yaygın satış.

"Kişisel veri" terimi ne anlama geliyor?

Kişisel verilerin (PD) tanımı da yasanın kabul edilmesinden önce, örneğin, "Gizli bilgiler listesi"nde karşılanmıştır. 188 Sayılı Rusya Federasyonu Cumhurbaşkanı Kararı 6 Mart 1997:

İle kesin bilgişunları içerir: bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, kişiliğini tanımlamaya izin veren bilgiler ( Kişisel bilgi), medyada yayılacak bilgiler hariç kitle iletişim araçları federal yasaların öngördüğü durumlarda.

Ancak, yasa bunu tamamladı. Şimdi, FZ-152'ye göre, kişisel veriler -

Soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu dahil olmak üzere, bu tür bilgilere dayanarak (kişisel verilere konu olan) tanımlanan veya belirlenen bir kişiyle ilgili her türlü bilgi , eğitim, meslek, gelir, diğer bilgiler.

Dolayısıyla kişisel veriler, öncelikle pasaport verileri, medeni hal bilgileri, eğitim bilgileri, TIN numaraları, sigorta sertifikası belirtmek, bildirmek emeklilik sigortası, sağlık sigortası, emek faaliyeti hakkında bilgi, sosyal ve mülkiyet durumu, gelir hakkında bilgi. Hemen hemen her kuruluşta bu tür veriler vardır.

Bir işe başvururken, bu, çalışanın belirttiği işverenin personel departmanının verileridir. Kişisel kart, otobiyografi, bir iş sözleşmesinin imzalanmasında doldurulan diğer belgeler.

bir çocuk girdiğinde Çocuk Yuvası, okul, kolej, diğerleri Eğitim Kurumları Hem çocuğun (örneğin doğum belgesinin verileri) hem de ebeveynlerinin (iş yerine, tutulan pozisyona kadar) verilerini gösteren birçok anket ve form da doldurulur.

Tedaviye devam ederken tıbbi kurumlar sadece pasaport verilerini değil, aynı zamanda yardımlar, sağlık sigortası, önceki tedaviler hakkında bilgiler, test sonuçları hakkında bilgileri de belirtmek gerekir. Pek çok sağlık kuruluşunda poliklinik/yatan hasta kartları elektronik ortamda çoğaltılmaktadır.

Ve tüm bu veriler mevcut mevzuata göre korumaya tabidir.

Korumaya nereden başlamalı ve hiç gerekli mi?

Kişisel verilerin gizliliği- kişisel verilere erişim sağlayan bir operatör veya başka bir kişi için, kişisel verilerin sahibinin rızası veya diğer yasal gerekçeler olmaksızın dağıtımını önlemek için zorunlu bir gereklilik (FZ-152).

Operatör - bir devlet organı, bir belediye organı, bir tüzel kişilik veya kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen (FZ-152).

Kişisel verilerin bilgi sistemi(ISPD) - veri tabanında yer alan bir dizi kişisel verinin yanı sıra bu tür kişisel verilerin otomasyon araçları kullanılarak veya bu araçlar kullanılmadan işlenmesine izin veren bilgi teknolojileri ve teknik araçlardan oluşan bir bilgi sistemi (FZ-152).

Kişisel verilerin işlenmesi- bunlar, kişisel verilerin toplanması, sistemleştirilmesi, biriktirilmesi, depolanması, aydınlatılması (güncellenmesi, değiştirilmesi), kullanımı, dağıtımı (aktarma dahil), duyarsızlaştırma, engelleme, kişisel verilerin imhası dahil olmak üzere PD ile yapılan eylemlerdir (işlemler).

PD'yi işlerken, operatör gerekli tüm organizasyonel ve teknik önlemler kişisel verileri yetkisiz veya yanlışlıkla bunlara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için.

Kişisel verilerin korunması için ne yapılması gerekiyor?

Öncelikle hangi PD bilgi sistemlerinin var olduğunu ve ne tür PD işlediklerini belirlemek gerekir.

Kişisel veri bilgi sisteminin sınıflandırılması

PD'yi koruma sorununun ne kadar önemli olduğunu anlamak ve PD'yi korumak için gerekli yöntemleri ve araçları seçmek için operatörün ISPD'yi sınıflandırması gerekir. Sınıflandırma sırası tanımlandı emriyle Rusya'nın FSTEC'i, Rusya FSB ve 13 Şubat 2008 tarih ve 55/86/20 sayılı Rusya Bilgi ve İletişim Bakanlığı.

Böylece operatör, ilk verileri analiz ettikten sonra uygun sınıfın ISPD'sini atamaya karar veren bir komisyon (kuruluş başkanının emriyle) oluşturur. Sınıflandırma sırasında belirlenir:

  • işlenmiş kişisel veri kategorisi;
  • işlenen kişisel veri miktarı;
  • bilgi sistemi türü;
  • bilgi sisteminin yapısı ve teknik araçlarının yeri;
  • kişisel veri işleme modları;
  • kullanıcı erişim haklarının farklılaşma modları;
  • kamu ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti.

55/86/20 numaralı siparişe göre, tüm bilgi sistemleri (IS) standart ve özel olarak ayrılmıştır.

Tipik bilgi sistemleri- sadece kişisel verilerin gizliliğini gerektiren bilgi sistemleri.

Özel bilgi sistemleri- Kişisel verilerin gizliliğini sağlama ihtiyacına bakılmaksızın, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin sağlanmasının gerekli olduğu bilgi sistemleri (yok etme, değiştirme, engelleme ve diğer yetkisiz işlemlerden korunma) .

Pratikte, pratikte standart IS'lerin olmadığı ortaya çıkıyor, çünkü çoğu durumda, gizliliğe ek olarak, bilgilerin bütünlüğünü ve kullanılabilirliğini sağlamak da gerekli. Ayrıca, içinde hatasız ile özel sistemler atfedilmelidir:

  • kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
  • oluşturan kararların kişisel verilerinin münhasıran otomatik olarak işlenmesi temelinde benimsenmesini sağlayan bilgi sistemleri. yasal sonuçlar kişisel verilerin konusuyla ilgili olarak veya haklarını ve meşru menfaatlerini başka bir şekilde etkileyen.

Bu nedenle, ilk verilerin analizinin sonuçlarına dayanarak, komisyon uygun sınıfı kişisel veri sistemine atar:

sınıf 1 (K1) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin önemli sonuçlara yol açabileceği bilgi sistemleri Olumsuz sonuçlar kişisel veri konuları için;

sınıf 2 (K2) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

Sınıflandırma sonuçları, ISPD'nin tipini (tipik, özel), ISPD'ye atanan sınıfı ve kararın esas alındığı koşulları belirten ISPD Sınıflandırma Yasası ile belgelenir.

Daha önce de belirtildiği gibi, sınıflandırma için gereklidir daha fazla seçim ISPD'de işlenen PD'yi koruma yöntemleri ve araçları, çünkü FSTEC ve FSB belgelerinde her sınıfın ISPD'yi korumak için kendi gereksinimleri vardır, bu biraz sonra konuşacağız.

İşleme konu olan PD'nin onayı

Daha sonra, bu verilerin işlenmesine geçilmelidir, ancak bunların işlenmesi yasal olmadan önce, işleme için kişisel verilerin konusunun rızasını almak gerekir (kanun böylece kişisel verilerin yasa dışı olarak toplanmasını ve kullanılmasını engeller) :

Madde 6 FZ-152:

Kişisel verilerin işlenmesi, aşağıdaki durumlar dışında PD konularının rızası ile operatör tarafından gerçekleştirilebilir:

1) kişisel verilerin işlenmesi, amacını, kişisel verilerin elde edilmesine ilişkin koşulları ve kişisel verileri işlemeye tabi olan konuların çevresini belirleyen ve ayrıca operatörün yetkilerini belirleyen bir federal yasa temelinde gerçekleştirilir. ;

2) Kişisel verilerin işlenmesinin, kişisel verilerin konusu olan taraflardan birinin sözleşmenin ifası amacıyla gerçekleştirilmesi;

3) kişisel verilerin işlenmesi, kişisel verilerin zorunlu olarak kişiselleştirilmesine tabi olarak istatistiksel veya diğer bilimsel amaçlar için gerçekleştirilir;

4) kişisel verilerin konusunun rızasının alınmasının imkansız olması durumunda, kişisel verilerin konusunun yaşamını, sağlığını veya diğer hayati menfaatlerini korumak için kişisel verilerin işlenmesinin gerekli olması;

5) kişisel verilerin işlenmesinin teslimat için gerekli olması posta öğeleri posta kuruluşları, telekomünikasyon operatörleri tarafından sağlanan iletişim hizmetleri için iletişim hizmetleri kullanıcıları ile yerleşim yerlerinin uygulanması ve ayrıca iletişim hizmetleri kullanıcılarının taleplerinin değerlendirilmesi için;

6) kişisel verilerin işlenmesi, amaçları doğrultusunda gerçekleştirilir. profesyonel aktivite gazeteci veya bilimsel, edebi veya diğer amaçlarla yaratıcı aktivite kişisel veri sahibinin hak ve özgürlüklerini ihlal etmemesi kaydıyla;

7) Yerine geçen kişilerin kişisel verileri de dahil olmak üzere yayına tabi kişisel verilerin federal yasalara uygun olarak işlenmesi kamu ofisi, hükümet pozisyonları sivil hizmet, seçilen eyalet veya belediye pozisyonları için adayların kişisel verileri.

Bu nedenle, PD işleme durumumuz Federal Yasa-152'nin 6. maddesinin 2. bölümünde öngörülmüşse, onay alınması gerekli değildir.

Ayrıca takip etmek gerekli İş Kanunu, Bölüm 14. Örneğin, işveren, çalışanın özel hayatı ile ilgili verileri ancak yazılı rızası ile alma ve işleme hakkına sahiptir. (İş Kanunu'nun 86. Maddesi 4. Kısmı).

Federal Yasa-152'nin 9. Maddesi uyarınca, kişisel verilerinin işlenmesi için kişisel verilerin konusunun rızasının alınması gerekir. yazılı olarak. Yazılı antlaşma kişisel verilerin konusu şunları içermelidir:

  • soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;
  • kişisel verilerin konusunun onayını alan operatörün adı (soyadı, adı, soyadı) ve adresi;
  • kişisel veri işlemenin amacı;
  • işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;
  • rıza verilen kişisel veriler içeren eylemlerin bir listesi, operatörün kişisel verileri işlemek için kullandığı yöntemlerin genel bir açıklaması;
  • rızanın geçerli olduğu süre ve geri çekilme prosedürü.

PD'nin işlenmesini ve korunmasını düzenleyen yönetmelik

Bu nedenle, operatör (gerekirse) kişisel verilerin işlenmesi için onay almıştır - kişisel veriler işlenebilir. Ancak, göre İş Kanunu ve FZ-152'ye göre, kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin prosedürü düzenleyen bir hüküm geliştirmek (varsa, Federal Kanuna göre kesinleştirmek) gereklidir. Geçici olarak diyelim Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik. Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluşun dahili (yerel) bir belgesidir. Bu belge için kesin bir form yoktur, ancak İş Kanunu ve FZ-152'nin gereksinimlerini karşılaması gerekir ve bu nedenle şunları belirtmelidir:

Kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kuruluş başkanı veya yetkilendirdiği bir kişi tarafından onaylanır ve başkanın talimatı ile yürürlüğe konulur. İşveren, çalışana imza karşılığı Yönetmelikler hakkında bilgi vermekle yükümlüdür.

PD işlemeye kabul edilen kişilerin listesi

Ayrıca, yayınlamak için gerekli PD işlemeye kabul edilen kişilerin listesi, yani gerçekleştirmek için PD'ye erişmesi gerekenlerin (pozisyona göre) listesi resmi görevler. Her şeyden önce, bunlar personel servisinin çalışanlarıdır, çünkü hem çalışan hem de muhasebe departmanı çalışanları hakkında veri toplar ve oluştururlar. Ek olarak, yapısal bölüm başkanları (örneğin, bölüm başkanları) bu bilgilere erişebilir - ve bu da listeye yansıtılmalıdır. Bununla birlikte, hepsinin herhangi bir veri talep etme hakkı yoktur, ancak yalnızca belirli işgücü işlevlerini yerine getirmek için gerekli olanları (örneğin, vergi avantajlarını hesaplamak için muhasebe departmanı çalışanla ilgili tüm bilgileri almaz, yalnızca bağımlılarının sayısına ilişkin veriler). Bu nedenle, bir liste yazmanız önerilir. bilgi kaynakları kullanıcıların erişmesine izin verilir.

PD'nin işlenmesine kabul edilen kişilerin listesi, kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin eki veya başkan tarafından onaylanan ayrı bir belge şeklinde düzenlenebilir.

Roskomnadzor bildirimi

Ayrıca, Federal Yasa-152'nin 22. maddesi uyarınca, operatör, kişisel verilerin işlenmesinden önce, kişisel verilerin konularının haklarının korunması için yetkili organı bilgilendirmekle yükümlüdür (bugün Federal Hizmettir). tarafından öngörülen durumlar dışında, PD'yi işleme niyetinin İletişim, Bilgi Teknolojisi ve Kitle İletişiminin (Roskomnadzor) Denetlenmesi için Madde 22 FZ-152'nin 2. Kısmı:

Operatör, kişisel verilerin konularının haklarının korunması için yetkili organa bildirimde bulunmadan, kişisel verilerin işlenmesini gerçekleştirme hakkına sahiptir:

1) işletmeci ile iş ilişkileri ile ilişkilendirilen kişisel veri sahiplerine ilişkin;

2) kişisel verilerin dağıtılmaması ve kişisel verilerin konusunun rızası olmadan üçüncü şahıslara verilmemesi ve kişisel verilerin konusunun taraf olduğu bir sözleşmenin akdedilmesiyle bağlantılı olarak işletmeci tarafından alınan ve işletmeci tarafından yalnızca söz konusu sözleşmenin ifası ve kişisel verilerin konusu ile sözleşmelerin akdedilmesi için kullanılması;

3) bir kamu derneği veya dini kuruluşun üyeleri (katılımcıları) ile ilgili ve ilgili kamu derneği tarafından işlenen veya dini organizasyon yasalara uygun hareket etmek Rusya Federasyonuöngördüğü meşru amaçlara ulaşmak için kuruluş belgeleri, kişisel veri sahiplerinin yazılı rızası olmaksızın kişisel verilerin paylaşılmaması kaydıyla;

4) kamuya açık kişisel veri olması;

5) kişisel veri konularının yalnızca soyadları, adları ve soyadları dahil olmak üzere;

6) kişisel verilerin konusunun operatörün bulunduğu bölgeye tek geçişi veya diğer benzer amaçlar için gerekli;

7) federal yasalara uygun olarak federal otomatik bilgi sistemleri statüsüne sahip kişisel veri bilgi sistemlerinde ve ayrıca devlet güvenliğini ve kamu düzenini korumak için oluşturulan devlet kişisel veri bilgi sistemlerinde yer alan;

8) federal yasalara veya diğer düzenleyici düzenlemelere uygun olarak otomasyon kullanılmadan işlenir yasal işlemler Rusya Federasyonu'nun, işlenmesi sırasında kişisel verilerin güvenliğinin sağlanması ve kişisel verilerin konularının haklarının gözetilmesi için gereksinimlerin belirlenmesi

Bildirim gereksinimleri, 22 FZ-152 maddesinin 3. bölümü. Kişisel verilerin işlenmesi (işleme niyeti) için bildirim formu elektronik olarak Roskomnadzor web sitesinde doldurulabilir: http://pd.rsoc.ru/operators-registry/notification/form/

Artık kişisel verileri işlemeye başlayabilir, aynı anda en karmaşık ve sorunlu konu -Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması.

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanması

Bilgileri korumaya yönelik önlemler zaman alıcıdır ve aşağıdaki ihtiyaçlardan dolayı önemli finansal maliyetlere yol açabilir:

  • (gerekirse) üzerinde çalışmak için bir lisans almak teknik koruma Rusya FSTEC'in gizli bilgileri;
  • ISPD'yi korumak için bir sistem oluşturmak ve / veya bilgi güvenliği gereksinimlerine göre sertifikalandırmak için faaliyetler yürütmek üzere Rusya FSTEC'in lisans sahibini dahil etmek;
  • bilgi güvenliğini sağlamaktan sorumlu çalışanları bilgi güvenliği konularında ileri eğitim kurslarına göndermek ve/veya bilgi güvenliği uzmanları işe almak;
  • FSTEC sertifikalı bilgi güvenliği araçlarını (SrZI), FSB sertifikalı araçları kurun kriptografik koruma ISPD sınıfına bağlı olarak bilgi (SKZI).

Kendiniz bir şeyler yapabilirsiniz, ancak bir yerde uzmanlara güvenmek daha iyidir. Ancak kişisel verilerin bir şekilde korunması gerekir.

Madde 19, FZ-152:

Operatör, kişisel verileri işlerken, kişisel verileri yetkisiz veya kazara erişimden, kişisel verilerin imha edilmesinden, değiştirilmesinden, engellenmesinden, kopyalanmasından, dağıtılmasından ve diğer yasa dışı eylemlerden korumak için gerekli organizasyonel ve teknik önlemleri almakla yükümlüdür.

  • 17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin düzenlemeler"
  • 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin düzenlemeler"
  • 6 Temmuz 2008 tarih ve 512 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Biyometrik kişisel verilerin ve bu tür verilerin kişisel veri bilgi sistemleri dışında depolanması için teknolojilerin maddi taşıyıcıları için gereklilikler"
  • Özel gereksinimler ve 30 Ağustos 2002 tarih ve 282 sayılı Rusya Devlet Teknik Komisyonu'nun (DSP) emriyle onaylanan gizli bilgilerin teknik korunmasına ilişkin tavsiyeler (STR-K)
  • 15 Şubat 2008 tarihli kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli (Özet, sahte elektromanyetik radyasyon ve girişim (PEMIN) kanallarından bilgi sızıntısı tehditleri göz önüne alındığında), bu belgenin tam sürümünü uygulamak için gerekli - DSP)
  • belirleme yöntemi gerçek tehditler 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin güvenliği ("resmi kullanım için" işareti 16 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
  • 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin öneriler ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
  • Organizasyonun ana faaliyetleri ve teknik Destek 15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliği ("Resmi kullanım için" işareti, 11 Kasım 2009 tarihli FSTEC Kararı ile kaldırılmıştır)
  • yönergeler otomasyon araçları kullanılarak kişisel veri bilgi sistemlerinde işlenmesi sırasında kriptografik araçlar yardımıyla kişisel verilerin güvenliğini sağlamak. FSB, 21 Şubat 2008
  • Tipik gereksinimler oluşturan bilgileri içermeyen bilgileri korumak için tasarlanmış şifreleme (kriptografik) araçlarının düzenlenmesi ve işleyişinin sağlanması hakkında devlet sırrı kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak amacıyla kullanılıyorsa. FSB, 21 Şubat 2008

ISPD'de işlenirken PD'nin güvenliğini sağlamak için karşılanması gereken tüm gereksinimleri ayrıntılı olarak ele almayacağız - bunların çoğu vardır ve bunlar büyük ölçüde belirli ISPD'ye bağlıdır. Sık sık ana noktalar üzerinde duralım zahmetli operatörlerde.

Lisans - almak ya da almamak?

Mevzuat ve FSTEC belgeleri bize şunları söyler:

Madde 16, bölüm 6 FZ-149"Bilgi hakkında Bilişim teknolojisi ve bilgilerin korunması hakkında" 27 Temmuz 2006 tarihli:

Federal yasalar, bilgilerin korunması ve uygulanması için belirli araçların kullanımına ilişkin kısıtlamalar getirebilir. belirli türler bilgi koruma alanındaki faaliyetler.

Federal Yasa-128'in 17. Maddesi, 1. Kısmı, 11. Maddesi 8 Ağustos 2001 tarihli "Belirli faaliyet türlerinin lisanslanması hakkında":

Bu Federal Yasa uyarınca lisanslamaya tabidir aşağıdaki türler faaliyetler: gizli bilgilerin teknik korunmasına yönelik faaliyetler.

504 Sayılı Rusya Federasyonu Hükümeti Kararnamesi 15 Ağustos 2006 tarihli "Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Üzerine"

Gizli bilgilerin teknik olarak korunması, teknik kanallar da dahil olmak üzere yetkisiz erişime ve ayrıca bu bilgileri yok etmek, çarpıtmak veya erişimi engellemek için bu tür bilgiler üzerindeki özel etkilerden korunması için bir dizi önlem ve (veya) hizmet olarak anlaşılır. O.

Ana olaylar… FSTEC
Madde 3.14

128 Sayılı “Belirli Faaliyet Türlerinin Lisanslanması Hakkında” Federal Kanun hükümleri ve 504 Sayılı “Gizli Bilgilerin Teknik Korunmasına Yönelik Lisanslama Faaliyetleri Hakkında” Hükümet Kararnamesi gereklilikleri uyarınca, ISPD operatörleri güvenliği sağlamak için önlemler alırken ISPD 1 , 2 ve 3 (dağıtılmış sistemler) sınıflarında işlenmeleri sırasında PD (gizli bilgiler) Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerde bulunma lisansı yerleşik düzene göre.

Ayrıca lisans gerekliliği ile ilgili soruyu da yanıtladı Bölüm Başkanı FSTEC yönetimi Rusya NAZAROV İgor Grigorievich"Connect! World of Communication" dergisi tarafından düzenlenen yuvarlak masa toplantısında (http://www.connect.ru/article.asp?id=9406):

Soru: ISPD'de kişisel verileri işleyen operatörlerin, gizli bilgilerin teknik korunması için bir lisans almaları gerekiyor mu?

Igor Nazarov: FSTEC belgelerine göre, sınıf 1, 2 bilgi sistemleri ve sınıf 3 coğrafi olarak dağıtılmış sistemler üzerinde bağımsız olarak bu tür faaliyetleri yürüten PD operatörleri için bir lisans gereklidir, kural olarak bunlar büyük devlet bilgi sistemleridir. Aynı zamanda 3. ve 4. sınıf ISPD'ye sahip poliklinikler, kreşler, eczaneler vb. için bu tür ruhsatların alınması gerekli değildir.

17 Kasım 2007 tarih ve 781 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca, ISPD operatörü bilgi koruma (PD) ile ilgili önlemleri almak için bir anlaşmaya girerse, yetkili kişi- Rusya FSTEC'in bir lisans sahibi, bir lisansa sahip olması gerekli değildir.

Bu nedenle, küçük kuruluşlar için, PD'nin güvenliğini sağlamak için önlemler almak (ISPD'yi korumak için bir sistem oluşturmak, sertifikalandırma) için TZKI için bir FSTEC lisansı almak yerine, FSTEC'den bir lisans sahibi çekmek daha uygun maliyetli olacaktır, gerekli tüm işleri kim yapacak.

Büyük kuruluşlar için (telekom operatörleri, büyük bankalar vb.) kendileri için bir lisans almak ve gerekli tüm işleri yapmak daha karlı.

Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetlerin yürütülmesi için lisans verilmesi prosedürü tanımlanmıştır " Gizli bilgilerin teknik olarak korunmasına yönelik lisanslama faaliyetlerine ilişkin düzenlemeler” (15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır). Lisans almak için gerekenler:

a) teknik bilgi güvenliği veya yüksek veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitime sahip ve teknik bilgi güvenliği konusunda yeniden eğitim veya ileri eğitim almış uzmanların lisans adayının (lisans sahibi) durumunda bulunması;

b) lisans adayının (lisans alan), lisanslı faaliyetin uygulanması için aşağıdakilere tekabül eden binaları vardır: teknik standartlar ve Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan ve mülkiyet hakkı veya başka bir kişiye ait olan bilgilerin teknik korunması için gereklilikler yasal dayanak;

c) herhangi bir yasal temelde, Rusya Federasyonu mevzuatına uygun olarak geçen üretim, test ve enstrümantasyon ekipmanının varlığı metrolojik doğrulama(kalibrasyon), işaretleme ve sertifikalandırma;

d) kullanmak otomatik sistemler Rusya Federasyonu mevzuatına uygun olarak uygunluk değerlendirme prosedürünü geçen (onaylanmış ve (veya) bilgi güvenliği gerekliliklerine göre onaylanmış) bu tür bilgilerin korunmasının yanı sıra gizli bilgilerin işlenmesi;

e) lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların, hak sahipleri ile yapılan bir anlaşma temelinde kullanılması;

f) düzenleyici yasal düzenlemelerin mevcudiyeti, düzenleyici ve metodolojik ve metodolojik belgeler Federal Teknik ve İhracat Kontrolü Servisi tarafından oluşturulan listeye uygun olarak bilgilerin teknik korunması konularında.

SZPDn oluşturma aşamaları

Buna göre Ana aktiviteler FSTEC tarafından yayınlanan kişisel veri bilgi sistemlerinde işlenen kişisel verilerin organizasyonu ve teknik güvenliği için bir kişisel veri koruma sisteminin (PSPD) oluşturulması aşağıdaki adımlardan oluşur:

1. Proje öncesi aşama

1.1 Bilgilendirme nesnesinin denetimi:

  • ISPD'de PD işleme ihtiyacının belirlenmesi;
  • korunacak PD listesinin belirlenmesi;
  • kontrollü bölgenin (KZ) sınırlarına göre ISPD'nin konumu için koşulların belirlenmesi;
  • ISPD'nin konfigürasyonunun ve topolojisinin bir bütün olarak ve bireysel bileşenlerinin belirlenmesi; hem ISPD içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantılar;
  • korunan ISPD'de kullanılan teknik araçların ve sistemlerin, yerlerinin koşullarının belirlenmesi;
  • korumalı ISPD'de kullanılan sistem çapında, özel ve uygulama yazılımlarının tanımı;
  • ISPD'de bir bütün olarak ve bireysel bileşenlerde bilgi işleme modunun belirlenmesi;
  • ISPD'nin sınıflandırılması;
  • personelin bilgilerin işlenmesine (tartışma, iletim, depolama) katılım derecesinin belirlenmesi, birbirleriyle etkileşimlerinin niteliği;
  • bilgi güvenliğine yönelik güvenlik açıkları ve tehditlerin bir listesinin belirlenmesi ve derlenmesi, tehditlerin bilgi güvenliğine uygunluğunun değerlendirilmesi;
  • özel bir tehdit modelinin geliştirilmesi.

1.2 geliştirme başvuru şartlarışunları içermesi gereken bir CPD'nin oluşturulması için:

  • SZPDn geliştirme ihtiyacının doğrulanması;
  • teknik, programatik, bilgilendirici ve organizasyonel yönlerden ISPD'nin ilk verileri;
  • ISPD sınıfı;
  • SDPD'nin geliştirileceği ve ISPD'nin faaliyete geçirileceği dikkate alınarak düzenleyici belgelere bir bağlantı;
  • SPPD için önlemlerin ve gereksinimlerin somutlaştırılması;
  • kullanılması amaçlanan sertifikalı bilgi koruma araçlarının bir listesi;
  • piyasada bulunan sertifikalı bilgi güvenliği araçlarını kullanmanın imkansız veya uygunsuz olması durumunda kendi bilgi güvenliği araçlarının geliştirilmesi için gerekçe;
  • SPPD'nin geliştirilmesi ve uygulanması aşamalarındaki çalışmaların bileşimi, içeriği ve zamanlaması.

2. SPPD'nin tasarım ve uygulama aşaması

2.1 SZPDn'nin oluşturulması için bir projenin geliştirilmesi;

2.2 gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

2.3 sertifikalı bilgi güvenliği araçlarının satın alınması;

2.4 ISPD'de işlenen bilgilere kullanıcılar ve personel için izin verilen bir erişim sisteminin geliştirilmesi ve uygulanması;

2.5 SRZI kurulumu ve konfigürasyonu;

2.6 bilgi güvenliği araçlarının işletilmesinden sorumlu departmanların ve kişilerin belirlenmesi, atanmış kişilerin PD'nin korunmasına ilişkin çalışmaların özellikleri konusunda eğitimi;

2.7 ISPD ve bilgi güvenliği araçları için operasyonel dokümantasyonun yanı sıra bilgi güvenliği için organizasyonel ve idari dokümantasyonun (yönetmelikler, emirler, talimatlar ve diğer dokümanlar) geliştirilmesi;

2.8 bilgileri korumaya yönelik diğer tedbirlerin uygulanması.

3. CPAP'nin uygulanma aşaması

3.1 ISPD'nin bir parçası olarak performanslarını test etmek için bilgi güvenliği araçlarının diğer donanım ve yazılımlarla birlikte denenmesi;

3.2 bir kabul sertifikasının yürütülmesi ile deneme çalışmasının sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

3.3 ISPD'nin bilgi güvenliği gereksinimlerine uygunluğunun değerlendirilmesi - bilgi güvenliği gereksinimleri için sertifika (beyan).

4. Bakım ve bilgi güvenliği sisteminin bakımı

PD'nin korunması için organizasyonel ve idari belgeler

Dışında teknik çözümler Oluşturulan kişisel veri koruma sisteminin, işletmeci, ISPD'de işlenmesi ve PDPD'nin işletilmesi sırasında PD'nin güvenliğini sağlamak için ortaya çıkan tüm sorunları düzenleyecek organizasyonel ve idari belgelerin geliştirilmesini sağlamalıdır. Bu tür birçok belge var, ana olanlar:

1. PD güvenliğinin sağlanmasına ilişkin yönetmelik- makalenin başında, bu belgenin amacına ve bileşimine zaten değindik. Her ihtimale karşı, tekrar edelim - şunu belirtmelidir:

  • kişisel verilerin korunması alanındaki amaç ve hedefler;
  • kişisel verilerin kavramı ve bileşimi;
  • bu verilerin hangi yapısal birimlerde ve hangi ortamda (kağıt, elektronik) biriktiği ve depolandığı;
  • kişisel verilerin nasıl toplandığı ve saklandığı;
  • nasıl işlendiği ve kullanıldığı;
  • firma içinde kimlerin (pozisyona göre) bunlara erişimi var;
  • yetkisiz erişim dahil olmak üzere PD koruma ilkeleri;
  • çalışanın kişisel verilerinin korunmasını sağlamak için hakları;
  • çalışanların kişisel verileriyle ilgili gizli bilgilerin ifşa edilmesi sorumluluğu.

2. ISPD'de PD ile çalışmak üzere kabul edilen kişilerin kabulü ve muhasebesi için bir sistem düzenlemek, - PD işlemeye kabul edilen kişilerin listesi(resmi görevlerini yerine getirmek için PD'ye erişmesi gerekenlerin bir listesi) ve bir Erişim Matrisi (kullanıcıların ISPD'nin belirli bilgi kaynakları - okuma, yazma, güncelleme, silme ile ilgili belirli eylemleri gerçekleştirme yetkisini yansıtmalıdır) . Her iki belge de başkan tarafından onaylanır.

3. Özel tehdit modeli(birkaç ISPD varsa, o zaman her biri için tehdit modeli geliştirilir) - sonuçlara göre geliştirildi ön inceleme. Rusya'nın FSTEC'i, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel veri güvenliği tehditlerinin Temel bir modelini önermektedir, buna göre, özel bir model oluştururken aşağıdakilerin dikkate alınması gerekir:

  • teknik kanallardan bilgi sızıntısı tehditleri;
  • ISPD'ye erişimi olan, tehditleri doğrudan ISPD'de uygulayan ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri. Aynı zamanda, ISPD'nin yasal kullanıcılarını potansiyel ihlalciler olarak değerlendirmek gerekir;
  • ISPD'ye erişimi olmayan, dış kamu iletişim ağlarından ve (veya) uluslararası bilgi alışverişi ağlarından gelen tehditleri gerçekleştiren ihlalcilerin eylemleriyle ilişkili yetkisiz erişim tehditleri.

Geliştirilen tehdit modeli yönetici tarafından onaylanır.

4. Onaylı ISPD tehdit modeline dayalı olarak, ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamak için gereklilikler. Tehdit modeli gibi gereksinimler, kuruluşun başkanı tarafından onaylanması gereken bağımsız bir belgedir.

Bir tehdit ve gereksinim modeli geliştirmek için operatörün FSTEC lisans sahiplerinden uzmanları dahil etmesi tavsiye edilir.

5. ISPD'de işlenmesi sırasında PD'nin güvenliğini sağlamaya yönelik talimatlar.

Ek olarak, PD'yi korumak için tüm önlemleri almadan önce, operatör PD'nin güvenliğini sağlamaktan sorumlu bir yetkili veya (PDIS yeterince büyükse) yapısal bir birim atamalıdır. Randevu kararı, başın emriyle verilir. Görevler, işlevler ve yetkiler resmi PD'nin güvenliğini sağlamaktan sorumlu (bölüm) iç organizasyonel ve idari belgelerle belirlenir ( iş tanımları, düzenlemeler).

Sertifika almak için neler gereklidir, neler değildir?

Kullanılan tüm yazılımların sertifikalandırılması gerektiği ve sertifikalandırmanın pahalı ve zaman alıcı olduğu genellikle yanlış anlaşılır.

Ancak, PD koruması konularını düzenleyen belgelerin hiçbiri, tüm yazılımların sertifikalandırılması gerektiğini söylemez. Bilgi güvenliği araçları, Rusya'nın FSTEC gereksinimlerine göre sertifikalandırılmalıdır, ancak ISPD'nin korunmasına dahil olmayan sistem, uygulama veya özel yazılımlar için onaylanmamalıdır.

Igor Nazarov: … NDV endişelerinin yokluğunun kontrolü için sertifika güvenlik işlevi, yani koruma araçları ve kullanılan tüm yazılımlar değil bilgi sistemi(http://www.connect.ru/article.asp?id=9406).

Bugün, Teknik ve İhracat Kontrolü Federal Servisi'nin web sitesinde görüntülenebilen FSTEC belgeleri bize bu konuda şunları söylüyor:

ISPD'de yalnızca güvenlik gereksinimlerine göre sertifikalandırılmış bilgiler kullanılmalıdır. teknik araçlar ve koruma sistemleri.

Ana olaylar…

Madde 4.2: ... ISPD'de, yazılım ve bellenimde bildirilmemiş yeteneklerin varlığı ve sistem ve uygulama yazılımının güvenliğinin analizi için kontrol yapılmalıdır.

Madde 4.3: Yazılım için, bilgilerin korunmasında kullanılan ISPD'de (genel sistem ve uygulama yazılımında yerleşik olanlar da dahil olmak üzere bilgi güvenliği araçları), içinde NDV'nin yokluğu üzerinde uygun bir kontrol düzeyi sağlanmalıdır.

Bu nedenle, bilgi koruma sürecine katılmazsa sistem ve uygulama yazılımının sertifikalandırılması gerekli değildir - bu, operatörün talebi üzerine yapılabilir.

Kişisel veri koruma sistemleri oluşturma uygulaması, kullanılmasının gerekli olduğunu göstermektedir. lisanslı yazılım(sistem, uygulama ve özel yazılım) ve sertifikalı bilgi güvenliği ve anti-virüs koruması araçları(bunlar UA'dan SrZI, anti-virüs ürünleri, güvenlik duvarları, izinsiz giriş tespit araçları, belirli bir sınıfa karşılık gelen güvenlik analiz araçları olabilir). ISPD ayarlarsa bilgi korumanın kriptografik araçları (CIPF), daha sonra Rusya'nın FSB'sinin gereksinimlerine göre de sertifikalandırılmalıdır.

Yalnızca FSTEC lisans sahibinin sertifikalı CIPF yükleme hakkına sahip olduğu ve FSB lisans sahibinin CIPF yükleme hakkına sahip olduğu belirtilmelidir.

sertifika

ISPD koruma sisteminin oluşturulmasındaki son aşama, sertifikalandırma (uygunluk beyanı) olmalıdır - bunun sonucunda bir dizi organizasyonel ve teknik önlem, özel belge- Uygunluk sertifikası (Sonuç), ISPD'nin bilgi güvenliği ile ilgili standartların veya diğer düzenleyici ve metodolojik belgelerin gerekliliklerine uygun olduğunu onaylar. Geçerli bir Uygunluk Onayının varlığı, Uygunluk Onayı'nda belirtilen süre boyunca bilgileri uygun gizlilik düzeyiyle işleme hakkı verir.

Soru: İş yerlerinin yasal gerekliliklere ve mevzuata uygunluğunu kimler onaylayabilir? normatif belgeler kişisel veriler alanında?

Igor Nazarov: Bilgi güvenliği gerekliliklerine uygunluk için ISPD sertifikası, gizli bilgilerin teknik korunması için lisansa sahip FSTEC lisans sahipleri tarafından gerçekleştirilebilir (http://www.connect.ru/article.asp?id=9406).

Sertifikasyon, benimsenen koruma önlemleri setinin gerekli PD güvenliği düzeyine uygunluğunu değerlendirmek için gerçek çalışma koşullarında ISPD'nin kapsamlı bir doğrulamasını (sertifikasyon testleri) sağlar.

AT Genel görünüm Bilgi güvenliği gereksinimleri için ISPD sertifikası aşağıdaki adımları içerir:

  • sertifikalı ISPD'ye ilişkin ilk verilerin analizi;
  • ISPD'nin uzman incelemesinin yapılması ve düzenleyici ve metodolojik belgelerin gerekliliklerine uygunluk için PD'nin güvenliğini sağlamak için geliştirilen belgelerin analizi;
  • güvenliği yetkisiz erişime karşı izlemek için özel kontrol ekipmanı ve yazılım araçları kullanarak gerçek çalışma koşullarında ISPD'nin karmaşık sertifikasyon testlerini gerçekleştirmek;
  • karmaşık tasdik testlerinin sonuçlarının analizi, tasdik sonuçlarına dayalı olarak Sonuç ve Uygunluk Belgesinin yürütülmesi ve onaylanması.

Önemli olan nokta şu ki koşullarda ve işleme teknolojisinde değişiklik olması durumunda PD işleticisi, bunu ISPD sertifikasyonunu gerçekleştiren lisans sahibi kuruluşa bildirmekle yükümlüdür. Bundan sonra, lisans sahibi kuruluş, ISPD koruma sisteminin etkinliğinin ek doğrulama ihtiyacına karar verir.

Yasanın gerekliliklerine uymama sorumluluğu ve riskleri

PD güvenliğinin sağlanmasına ilişkin gerekliliklerin yerine getirilmemesi durumunda, işletmeci müşterilerden veya çalışanlardan hukuk davası açma riskleri ile karşı karşıya kalabilir.

Bu da şirketin itibarını etkileyebilir ve ayrıca PD işleminin zorunlu olarak askıya alınmasına (fesih) yol açarak şirketi ve (veya) başkanını idari veya diğer türden sorumluluklara sokar ve eğer belirli koşullar- lisansların askıya alınması veya iptali. Ek olarak, Federal Yasaya göre, gereklilikleri ihlal etmekten suçlu bulunan kişiler medeni, cezai, idari, disiplin ve diğer kanunla sağlanan RF sorumluluğu (Madde 24 FZ-152):

  • disiplin ( İş Kanunu Rusya Federasyonu, Madde 81, 90, 195, 237, 391);
  • İdari (Rusya Federasyonu İdari Suçlar Kanunu, 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
  • Ceza (Rusya Federasyonu Ceza Kanunu, 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Ve sonuç nedir?...

Artık birçok kişi, günümüz mevzuatının ve düzenleyici ve metodolojik belgelerin birçok yanlışlık ve hatta bazı yönlerden aşırılıklara sahip olduğunu söylüyor.

Birçoğu, Aralık 2009'da FZ-152'nin gerekliliklerini yerine getirmek için son tarihlerin Ocak 2011'e kadar uzatılmasına yönelik bir karar verildiğini umuyor.

Ancak bundan bağımsız olarak, kişisel verilerin korunması ihtiyacı devam etmektedir.

Bu nedenle, bu sorunun çözümünü süresiz olarak ertelememelisiniz ve şimdiden kişisel verilerin güvenliğini sağlamak için gerekli önlemleri almanız gerekiyor.

1. Kişisel verilerin konusu, kişisel verilerini sağlamaya karar verir ve bunların serbestçe, kendi iradesiyle ve kendi menfaati doğrultusunda işlenmesini kabul eder. Kişisel verilerin işlenmesine yönelik rıza belirli, bilgilendirilmiş ve bilinçli olmalıdır. Kişisel verilerin işlenmesine izin, federal yasa tarafından aksi belirtilmedikçe, kişisel verilerin konusu veya temsilcisi tarafından alındığının doğrulanmasına izin veren herhangi bir biçimde verilebilir. Kişisel verilerin konusunun bir temsilcisinden kişisel verilerin işlenmesi için onay alınması durumunda, bu temsilcinin kişisel verilerin konusu adına onay verme yetkisi işletmeci tarafından kontrol edilir.

2. Kişisel verilerin işlenmesine ilişkin rıza, kişisel verilerin sahibi tarafından geri alınabilir. Kişisel verilerin konusu, kişisel verilerin işlenmesine ilişkin onayını geri çekerse, operatör, 6. maddenin 1. bölümünün 2-11. paragraflarında belirtilen gerekçeler varsa, kişisel verilerin konusunun rızası olmadan kişisel verileri işlemeye devam etme hakkına sahiptir. , bu Federal Yasanın 10. maddesinin 2. kısmı ve 11. maddesinin 2. kısmı.

3. Kişisel verilerin öznesinin kişisel verilerinin işlenmesi için rızasının alındığına dair kanıt veya 6. Maddenin 1. Kısmının 2-11. Paragraflarında, 10. Maddenin 2. Kısmında belirtilen sebeplerin varlığına dair kanıt sağlama yükümlülüğü ve bu Federal Yasanın 11. maddesinin 2. kısmı işletmeciye aittir.

4. Federal yasaların öngördüğü durumlarda, kişisel verilerin işlenmesi yalnızca kişisel verilerin konusunun yazılı rızasıyla gerçekleştirilir. Formdaki rıza elektronik belge federal yasalara uygun olarak imzalanmış Elektronik İmza. Kişisel verilerin öznesinin kişisel verilerinin işlenmesine ilişkin yazılı onayı, özellikle şunları içermelidir:

1) soyadı, adı, soyadı, kişisel verilerin konusunun adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu veren kuruluş hakkında bilgi;

2) kişisel verilerin konusunun temsilcisinin soyadı, adı, soyadı, adresi, kimliğini kanıtlayan ana belgenin numarası, belirtilen belgenin düzenlenme tarihi ve onu düzenleyen makam hakkında bilgi, ayrıntıları vekaletname veya bu temsilcinin yetkisini teyit eden diğer belgeler (konu kişisel verilerinin temsilcisinden onay alınması üzerine);

3) kişisel verilerin konusunun onayını alan operatörün adı veya soyadı, adı, soyadı ve adresi;

4) kişisel verilerin işlenme amacı;

5) işlenmesi için kişisel verilerin konusunun rızasının verildiği kişisel verilerin bir listesi;

6) işleme böyle bir kişiye emanet edilmişse, işletmeci adına kişisel verilerin işlenmesini gerçekleştiren kişinin adı veya soyadı, adı, soyadı ve adresi;

7) rıza verilen kişisel veriler içeren eylemlerin bir listesi, operatör tarafından kişisel verileri işlemek için kullanılan yöntemlerin genel bir açıklaması;

8) federal yasa tarafından aksi belirtilmedikçe, kişisel verilerin konusunun rızasının geçerli olduğu süre ve geri çekilme yöntemi;

9) kişisel veri sahibinin imzası.

5. Kişisel verilerin konusunun, devlet ve belediye hizmetlerinin yanı sıra sağlanması için gerekli ve zorunlu olan hizmetlerin sağlanması amacıyla kişisel verilerinin işlenmesine elektronik belge şeklinde onay alma prosedürü Devlet ve belediye hizmetleri, Rusya Federasyonu Hükümeti tarafından kurulur.

6. Kişisel verilerin öznesinin ehliyetsiz olması durumunda, kişisel verilerinin işlenmesine izin verilir. yasal temsilci kişisel verilerin konusu.

7. Kişisel verilerin öznesinin ölümü halinde, kişisel verilerin öznesi yaşamı boyunca böyle bir onay vermemişse, kişisel verilerin öznesinin mirasçıları tarafından kişisel verilerinin işlenmesine izin verilir. .

8. Kişisel veriler, işletmeciye 6 ncı maddenin 1 inci bölümünün 2-11 bentlerinde belirtilen gerekçelerin varlığının teyidinin sağlanması şartıyla, kişisel verilerin konusu olmayan bir kişiden alınabilir. Bu Federal Yasanın 10. maddesinin 2. fıkrası ve 11. maddesinin 2. kısmı.