Где Размещается Политика Обработки Персональных Данных?

Где Размещается Политика Обработки Персональных Данных
Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц. Политика в отношении обработки персональных данных должна содержать шесть разделов.

Какая организация регулирует сферу обработки персональных данных в России?

Роскомнадзор — Защита прав субъектов персональных данных Защита прав субъектов персональных данных Управление Роскомнадзора по Сибирскому федеральному округу информирует: С 1 сентября 2022 года вступают в силу изменения в закон «О персональных данных».

Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Формы уведомлений будут утверждены приказом Роскомнадзора. До этого оператор вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной от 30.05.2017 № 94.

  • На Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
  • 1. в бумажном виде;
  • 2. в электронном виде с использованием усиленной квалифицированной электронной подписи;

3. в электронном виде с использованием средств аутентификации ЕСИА. После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

  1. ПАМЯТКА ПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОСУЩЕСТВЛЕНИИ ИЗДАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ
  2. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее Федеральный закон) регулирует отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами.
  3. Сфера применения Федерального закона такова, что он равным образом распространяется на субъектов, осуществляющих обработку персональных данных, независимо их статуса: государственный орган, муниципальный орган, юридическое или физическое лицо.
  4. Организации, осуществляющие издательскую деятельностью, также обязаны соблюдать нормы Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».
  5. Единый нормативный правовой акт, регулирующий основные аспекты издательской деятельности отсутствует, правовая регламентация издательской деятельности связана с различными отраслями права.

Правовое основание обработки персональных данных организации, осуществляющей издательскую деятельность (далее именуется Издательская организация) определяется, в том числе, такими нормативными правовыми актами, как Закон Российской Федерации от 27.12.1991 №2124-1 «О средствах массовой информации»; Закон Российской Федерации от 07.02.199г.

№2300-1 «О защите прав потребителей»; а также общими для всех операторов, осуществляющих обработку персональных данных, нормативными правовыми актами: Трудовым, Гражданским, Налоговым кодексами Российской Федерации; Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»; Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; постановлениями Правительства Российской Федерации от 16.04.2003 № 225 «О трудовых книжках», от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», Постановлением Минтруда России от 10.10.2003 № 69 «Об утверждении Инструкции по заполнению трудовых книжек», иными нормативными правовыми актами, Уставом, локальными актами Издательской организации.

Цели обработки персональных данных Издательской организации В соответствии с частями 1-2 статьи 5 Федерального закона обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.

  • Применительно к Издательским организациям целями обработки персональных данных субъектов персональных данных могут быть: содействие в трудоустройстве; соблюдение требований трудового, пенсионного, налогового законодательства; в том числе расчет и начисление заработной платы; вопросы, связанные с организацией командировок, обеспечением сохранности имущества, соблюдением пропускного режима в организации, а также ведение переговоров, заключение, исполнение и прекращение гражданско — правовых договоров, оформление доверенностей, рассылка и получение рекламной информации и специальных предложений, в том числе персонализированных сообщений, связанных с предложением продуктов и услуг Издательской организации, проведение конкурсов, участие субъектов персональных данных в мероприятиях, организуемых Издательской организацией, рассмотрение обращений и претензий, а также другие цели.
  • Субъекты персональных данных и условия обработки персональных данных
  • Издательской организацией могут обрабатываться персональные данные следующих категорий субъектов персональных данных:

работников и бывших работников Издательской организации, членов их семей; физических лиц, состоящих с Издательской организацией в гражданско — правовых отношениях; кандидатов на вакантные должности; лиц, входящих в органы управления Издательской организации и не являющихся её работниками; физических лиц — представителей контрагентов юридических лиц; физических лиц – клиентов Издательской организации, физических лиц – выгодоприобретателей по договорам, заключаемым третьими лицами; физических лиц, обративших в соответствии с Федеральным законом Российской Федерации от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и Законом Российской Федерации от 07.02.1992 г.

  1. 2300-1 «О защите прав потребителей», также другие категории субъектов персональных данных, определяемые в соответствии локальными документам принятыми Издательской организацией, для обеспечения их исполнения.
  2. Обработка персональных должна осуществляться с согласия субъекта данных на обработку его персональных данных.

Согласие субъекта персональных данные не требуется в случаях, предусмотренных пп.2-11 ч.1 ст.6 Федерального закона, а именно в случаях, если:

  1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  2. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 3.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  • Не допускается обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, интимной жизни, членства в общественных объединениях — специальные категории персональных данных, за исключением случаев, предусмотренных пунктами 1-10 части 2 статьи 10 Федерального закона.
  • Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), Издательской организацией обрабатываться не должны.

В случаях, предусмотренных Федеральным законом субъект персональных данных принимает решение о представлении его персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным,

  1. В случаях, предусмотренных Федеральным законом, обработка персональных данных возможна только с согласия в письменной форме субъекта персональных данных.
  2. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных на бумажном носителе должно включать, в частности:
  3. — фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  4. — фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных;
  5. — наименование Издательской организации, получающей согласие на обработку персональных данных;
  6. — цель обработки персональных данных;
  7. — перечень персональных данных на обработку которых требуется согласие субъекта персональных данных;
  8. — наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена другому лицу;
  9. — перечень действий с персональными данными на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  10. — срок в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом
  11. — подпись субъекта персональных данных.
  12. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом,
  13. Права субъекта персональных данных
  14. Субъект персональных данных, в соответствии со ст.14 Федерального закона, имеет право на получение от Издательской организации информации, касающейся обработки его персональных данных, в том числе содержащей:
  15. 1) подтверждение факта обработки персональных данных оператором;
  16. 2) правовые основания и цели обработки персональных данных;
  17. 3) цели и применяемые оператором способы обработки персональных данных;
  18. 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  19. 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  20. 6) сроки обработки персональных данных, в том числе сроки их хранения;
  21. 7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;
  22. 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  23. 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
  24. Обязанности Издательской организации при сборе персональных данных

В соответствии с требованиями ч.5 ст.18 Федерального закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Издательская организация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона.

Обязанности Издательской организации по обеспечению безопасности персональных данных при их обработке При обработке персональных данных Издательская организация — Оператор в соответствии со ст.ст.18, 18.1, 19 Федерального закона принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К мерам, направленным на обеспечение выполнения оператором обязанностей предусмотренных ст.18.1 Федерального закона могут, в частности, относиться:

  • 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
  • 2) издание оператором, являющимся юридическим лицом,, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
  • 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  • 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
  • 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
  • Обеспечение безопасности персональных данных достигается следующими мерами:
  • — определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • — применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • — оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • — учетом машинных носителей персональных данных;
  • — обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • — восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • — установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • — контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  • Уведомление уполномоченного органа об обработке персональных данных
  • В соответствии с частью 1 статьи 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.
  • Частью 2 указанной статьи предусмотрены случаи осуществления обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Как показывает практика, деятельность Издательских организаций по обработке персональных данных, преимущественно, выходит за пределы случаев, предусмотренных ч.2 ст.22 Федерального закона «О персональных данных», в связи с чем данные организации должны в установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.

  • По адресу начал функционировать портал персональных данных.
  • Портал создан в целях информационного сопровождения деятельности Роскомнадзора по защите прав субъектов персональных данных.
  • На портале размещена электронная форма уведомления об обработке персональных данных, предоставляющая оператору возможность ее оперативного заполнения с последующим направлением в территориальный орган Роскомнадзора.

Электронные формы:

Каким законом в РФ регламентируется процесс обработки и защиты персональных данных?

Положения о защите персональных данных работников регламентируются : Конституцией Российской Федерации ; Федеральным законом от 27.07.2006 № 149-ФЗ ‘Об информации, информационных технологиях и о защите информации’; Федеральным законом от 27.07.2006 № 152-ФЗ ‘О персональных данных ‘ (далее – Закон № 152-ФЗ);

Кто обеспечивает безопасность персональных данных?

Обеспечение уровня защиты — В следующей таблице перечислены требования по обеспечения защищённости данных на должном уровне.

Уровень защищённости Требование
4. Исключить доступ в помещения, в которых находится оборудование информационной системы, посторонних лиц
Обеспечить сохранность носителей данных
Утвердить список работников оператора, которым разрешён доступ к обрабатываемым персональным данным
Использовать средства защиты информации, если применение таких средств необходимо для нейтрализации актуальных угроз
3. Выполнить все требования, предусмотренные для четвёртого уровня защищённости данных
Назначить должностное лицо, ответственное за обеспечение безопасности данных в информационной системе
2. Выполнить все требования, предусмотренные для третьего уровня защищённости данных
Ограничить доступ к электронному журналу безопасности исключительно уполномоченными лицами
1. Выполнить все требования, предусмотренные для второго уровня защищённости данных
Обеспечить автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к данным, содержащимся в информационной системе
Возложить ответственность за обеспечение безопасности данных в информационной системе на новое или уже существующее структурное подразделение

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которое производит обработку этих данных по поручению оператора. Более подробный список организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах содержится в приказе № 21 от 18.02.2013 Федеральной службы по техническому и экспортному контролю (ФСТЭК).

идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся или обрабатываются данные; регистрация событий безопасности; антивирусная защита; обнаружение и предотвращение вторжений; анализ защищённости; обеспечение целостности информационной системы и данных; обеспечение доступности данных; защита среды виртуализации; защита технических средств; защита информационной системы, её средств, систем связи и передачи данных; выявление событий, которые могут привести к сбоям или нарушению в работе информационной системы, или угрожающих безопасности данных, и реагирование на них; управление конфигурацией информационной системы и системы защиты.

Читайте также:  Сколько Атмосфер В Газовом Баллоне 50 Л?

В приложении к указанному приказу ФСТЭК содержится более детальный перечень мер по обеспечению безопасности данных для каждого уровня защищённости. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться и применяться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз.

Кто осуществляет обработку персональных данных?

В соответствии пунктом 2 статьи 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных » (далее – Закон о персональных данных ) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и

Какой закон регулирует обработку персональных данных?

Федеральный закон ‘О персональных данных ‘ от 27.07.2006 N 152-ФЗ (последняя редакция) \ КонсультантПлюс

Кто является уполномоченным органом по защите персональных данных?

Роскомнадзор — Защита прав субъектов персональных данных В соответствии с п.1 ст.23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных » и п.

В каком законе говорится про защиту персональных данных?

Нормативное регулирование — Требования к защите персональных данных регулируются законами:

Закон о персональных данных №152-ФЗ, 149 (» Об информации «), 249 (» О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля «). Ст.26 закона « О банках и банковской деятельности » — Согласно ст.26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему.

Какой нормативно правовой акт защищает персональные данные?

№ 152-ФЗ ‘О персональных данных ‘ (далее – Закон № 152-ФЗ).

Куда следует обращаться для защиты своих персональных данных?

Добрый день. Куда следует обращаться за защитой персональных данных: Роскомнадзор, Министерство культуры, Роспотребнадзор? Адвокат Антонов А.П. Добрый день! Согласно подпункту 5.1 Постановления Правительства РФ от 16 марта 2009 г. N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций осуществляет следующие полномочия: государственный контроль и надзор: за соблюдением законодательства Российской Федерации в сфере средств массовой информации и массовых коммуникаций, телевизионного вещания и радиовещания; в сфере связи: за соблюдением требований к построению сетей электросвязи и почтовой связи, требований к проектированию, строительству, реконструкции и эксплуатации сетей и сооружений связи; за соблюдением операторами связи и владельцами сетей связи специального назначения требований к пропуску трафика и его маршрутизации; за соблюдением порядка распределения ресурса нумерации единой сети электросвязи Российской Федерации; за соответствием использования операторами связи и владельцами сетей связи специального назначения выделенного им ресурса нумерации установленному порядку использования ресурса нумерации единой сети электросвязи Российской Федерации; за исполнением организациями федеральной почтовой связи и операторами связи, имеющими право самостоятельно оказывать услуги подвижной радиотелефонной связи, а также операторами связи, занимающими существенное положение в сети связи общего пользования, которые имеют право самостоятельно оказывать услуги связи по передаче данных и оказывают услуги связи на основании договоров с абонентами — физическими лицами, Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в части фиксирования, хранения и представления информации об операциях, подлежащих обязательному контролю, а также за организацией и осуществлением ими внутреннего контроля; за соблюдением пользователями радиочастотного спектра порядка, требований и условий, относящихся к использованию радиоэлектронных средств или высокочастотных устройств, включая надзор с учетом сообщений (данных), полученных в процессе проведения радиочастотной службой радиоконтроля; за выполнением правил присоединения сетей электросвязи к сети связи общего пользования, в том числе условий присоединения; за обеспечением доступности для инвалидов объектов, предусмотренных абзацем первым части 1 статьи 15.1 Федерального закона «О социальной защите инвалидов в Российской Федерации», и предоставляемых услуг; в сфере информационных технологий: за соблюдением требований обязательной сертификации или декларирования соответствия информационных технологий, предназначенных для обработки государственного банка данных о детях, оставшихся без попечения родителей; в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, — за соблюдением требований законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, к производству и выпуску средств массовой информации, вещанию телеканалов, радиоканалов, телепрограмм и радиопрограмм, а также к распространению информации посредством информационно-телекоммуникационных сетей (в том числе информационно-телекоммуникационной сети «Интернет») и сетей подвижной радиотелефонной связи (за исключением контроля и надзора за соответствием требованиям законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, информационной продукции, реализуемой потребителям, в части указания в сопроводительных документах на информационную продукцию сведений, полученных в результате классификации информационной продукции, и размещения в соответствии с указанными сведениями знака информационной продукции с соблюдением требований технических регламентов, а также за соблюдением образовательными и научными организациями требований законодательства Российской Федерации в сфере защиты детей от информации, причиняющей вред их здоровью и (или) развитию, к информационной продукции, используемой как в образовательном процессе, так и при предоставлении образовательными и научными организациями доступа к информационно-телекоммуникационным сетям, в том числе информационно-телекоммуникационной сети «Интернет»); обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов; присвоение (назначение) радиочастот или радиочастотного канала для радиоэлектронных средств на основании решения Государственной комиссии по радиочастотам; регистрацию присвоения (назначения) радиочастот и радиочастотных каналов; лицензирование деятельности, в том числе контроль за соблюдением лицензиатами лицензионных условий и требований: в области телевизионного вещания и радиовещания; в области оказания услуг связи; по изготовлению экземпляров аудиовизуальных произведений, программ для электронных вычислительных машин (программ для ЭВМ), баз данных и фонограмм на любых видах носителей (за исключением случаев, если указанная деятельность самостоятельно осуществляется лицами, обладающими правами на использование указанных объектов авторских и смежных прав в силу федерального закона или договора) в соответствии с законодательством Российской Федерации; присвоение позывных сигналов для опознавания радиоэлектронных средств гражданского назначения и регистрацию присвоения позывных сигналов; аккредитацию экспертов и экспертных организаций для проведения экспертизы информационной продукции в целях обеспечения информационной безопасности детей; создание, формирование и ведение единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» (далее — единый реестр); принятие мер по ограничению доступа к информационным ресурсам в информационно-телекоммуникационных сетях, в том числе в информационно-телекоммуникационной сети «Интернет», в пределах компетенции, установленной Федеральным законом «Об информации, информационных технологиях и о защите информации»; направление в Евразийскую экономическую комиссию предложений, содержащих сведения о радиоэлектронных средствах и (или) высокочастотных устройствах гражданского назначения, в том числе встроенных либо входящих в состав других товаров, при ввозе которых на таможенную территорию Евразийского экономического союза не требуется представление лицензии или заключения (разрешительного документа), а также рассмотрение полученных из Евразийской экономической комиссии предложений от государственных органов государств — членов Евразийского экономического союза, содержащих сведения о радиоэлектронных средствах и (или) высокочастотных устройствах гражданского назначения, в том числе встроенных либо входящих в состав других товаров, при ввозе которых на таможенную территорию Евразийского экономического союза не требуется представление лицензии или заключения (разрешительного документа).

Кто обеспечивает безопасность персональных данных при их обработке в информационной?

I. Общие положения — 1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; 2011, N 23, ст.3263; N 31, ст.4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г.

  • N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).
  • Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.2.

  1. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее — информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
  2. Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.3.

Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г.

  1. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.4.
  2. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.6.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Указанная оценка проводится не реже одного раза в 3 года.7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328).

Кто должен быть ответственным за обработку персональных данных?

Кого назначить ответственным по персональным данным (ПДн)? Может ли системный администратор быть ответственным за организацию обработки персональных данных? 4 3 У меня такой же вопрос У меня такой же вопрос Добрый день! Оператор, являющийся юридическим лицом, самостоятельно назначает лицо, ответственное за организацию обработки персональных данных, поэтому ответственным может быть назначен любой сотрудник организации. Другой вопрос, сможет ли системный администратор выполнять функции и обязанности, возложенные на ответственного за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров.

Системный администратор больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий. Добрый день.

Схожий вопрос: большинство инструкций и генерируемый Контур пакет документов в том числе предполагают, что ответственным за безопасность ПДн является сотрудник компании, а как быть тем компаниям, которые пользуются услугой системного администрирования на аутсорсе (настройками политик, домена, рабочих станций, антивируса и т.п.

Что является основанием для обработки персональных данных?

Роскомнадзор — Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Настоящие Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных (далее – Политика).

Основные понятия, используемые в Рекомендациях:

  • — персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • — оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • — обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • — сбор;
  • — запись;
  • — систематизацию;
  • — накопление;
  • — хранение;
  • — уточнение (обновление, изменение);
  • — извлечение;
  • — использование;
  • — передачу (распространение, предоставление, доступ);
  • — обезличивание;
  • — блокирование;
  • — удаление;
  • — уничтожение.
  • — автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • — распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • — предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • — блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • — уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • — обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • — информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • — трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В Политику рекомендуется включить следующие структурные компоненты:

3.1 Общие положения В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.3.2 Цели сбора персональных данных Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

  1. Цели обработки персональных данных могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
  2. 3.3 Правовые основания обработки персональных данных
  3. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. В качестве правового основания обработки персональных данных могут быть указаны:
  5. — федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  6. — уставные документы оператора;
  7. — договоры, заключаемые между оператором и субъектом персональных данных;
  8. — согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
Читайте также:  Как Узнать Что У Тебя Высокое Давление Без Тонометра?

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.3.4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

  • К категориям субъектов персональных данных могут быть отнесены, в том числе:
  • — работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
  • — клиенты и контрагенты оператора (физические лица);
  • — представители/работники клиентов и контрагентов оператора (юридических лиц).
  • В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  • 3.5 Порядок и условия обработки персональных данных
  • В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача).

При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации. Также рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст.7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч.2 ст.18.1, ч.1 ст.19 Федерального закона «О персональных данных».

  1. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
  2. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  3. Рекомендуется указывать сроки хранения персональных данных.

При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч.5 ст.18 Федерального закона «О персональных данных».

  • Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
  • 3.6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
  • В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.
  • При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
  • — иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • — оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • — иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
  • Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
  • Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
  • Ст.6 № 152-ФЗ «О персональных данных»

Ч.3 ст.6 № 152-ФЗ «О персональных данных»

  1. Конкретная дата (число, месяц, год) и основание (условие), наступление которого повлечет прекращение обработки персональных данных.
  2. Ст.21 № 152-ФЗ «О персональных данных»
  3. Ст.20 № 152-ФЗ «О персональных данных»

Время публикации: 11.08.2017 12:03 Последнее изменение: 11.08.2017 12:04

В чем разница между положением и политикой обработки персональных данных?

Положение о работе с персональными данными должны утвердить все работодатели. Политика нужна только тем, кто обрабатывает персональные данные на сайте организации. Работодатель утверждает локальный акт, которым регламентирует порядок хранения и использования персональных данных работников.

Куда подается уведомление об обработке персональных данных?

Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года Роскомнадзор уточнил, что 1 сентября не является крайним сроком подачи уведомления об обработке персональных данных. Как отчитаться чиновники рассказали на своем сайте.

  1. С 1 сентября 2022 года вступают в силу изменения в закон «О персональных данных».
  2. Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные без средств автоматизации.

Предельный срок уведомления об обработке персональных данных, как, не определен. Отчитаться можно и после 1 сентября 2022 года. Формы уведомлений будут утверждены приказом Роскомнадзора. Сейчас организация вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 № 94.

в бумажном виде;в электронном виде с использованием усиленной квалифицированной электронной подписи;в электронном виде с использованием средств аутентификации ЕСИА.

Позднее, после того, как Роскомнадзор утвердит новую форму уведомления, компания может направить уведомление о внесении изменений в ранее представленные сведения. Получите «ФСБУ 2022» на свою почту В сборнике важных комментариев — только актуальные стандарты бухучёта. А ещё будете получать рассылки с полезными статьями. Читать подробнее: Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года

Как осуществляется обработка персональных данных?

2. Сведения об обработке персональных данных — 2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.2.3.

Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»; Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»; Устав ООО «Сенетси-интеграция».

2.4. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

заключение трудовых отношений с физическими лицами; выполнение договорных обязательств Оператора; обработка входящих запросов, поступающих от потенциальных клиентов через web-сайт Оператора: ; соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором; физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами и потенциальными клиентами Оператора; кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.2.7.

  • При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.
  • При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.2.8.
  • Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.2.9.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.

Условием прекращения обработки персональных данных может являться отзыв согласия субъекта персональных данных на обработку его персональных данных.2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях.

Такие соглашения могут определять, в частности:

цели, условия, сроки обработки персональных данных; обязательства сторон, в том числе меры по обеспечению конфиденциальности; права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Что является целью Федерального закона № 152 ФЗ?

(В редакции федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ, от 01.07.2017 № 148-ФЗ, от 29.07.2017 № 223-ФЗ, от 31.12.2017 № 498-ФЗ, от 27.12.2019 № 480-ФЗ, от 24.04.2020 № 123-ФЗ, от 08.12.2020 № 429-ФЗ, от 30.12.2020 № 515-ФЗ, от 30.12.2020 № 519-ФЗ, от 11.06.2021 № 170-ФЗ, от 02.07.2021 № 331-ФЗ, от 14.07.2022 № 266-ФЗ) — Глава 1.

  1. Общие положения Статья 1.
  2. Сфера действия настоящего Федерального закона 1.
  3. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 11. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.

  • 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
  • 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
  • 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) (Пункт утратил силу — Федеральный закон от 25.07.2011 № 261-ФЗ) 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 5) (Дополнение пунктом — Федеральный закон от 28.06.2010 № 123-ФЗ) (Утратил силу — Федеральный закон от 29.07.2017 № 223-ФЗ) 3.

Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

(Дополнение частью — Федеральный закон от 29.07.2017 № 223-ФЗ)

  1. Статья 2. Цель настоящего Федерального закона
  2. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  3. Статья 3. Основные понятия, используемые в настоящем Федеральном законе
  4. В целях настоящего Федерального закона используются следующие основные понятия:
  5. 1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (Дополнение пунктом — Федеральный закон от 30.12.2020 № 519-ФЗ)

  • 2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • 3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • 5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • 6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • 7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • 8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • 9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • 10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • 11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ) Статья 4. Законодательство Российской Федерации в области персональных данных 1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.2.

На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных.

Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

(В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.31.

Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания.

  • Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных.
  • Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ) 4.
  • Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.5.

Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом.

  1. Дополнение частью — Федеральный закон от 08.12.2020 № 429-ФЗ) Глава 2.
  2. Принципы и условия обработки персональных данных Статья 5.
  3. Принципы обработки персональных данных 1.
  4. Обработка персональных данных должна осуществляться на законной и справедливой основе.2.
  5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
Читайте также:  В Чем Измеряется Давление Воздуха В Шинах?

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ) Статья 6. Условия обработки персональных данных 1.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223-ФЗ) 31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (Дополнение пунктом — Федеральный закон от 29.07.2017 № 223-ФЗ) 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ) 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ, от 03.07.2016 № 231-ФЗ, от 14.07.2022 № 266-ФЗ) 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ) 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 91) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами; (Дополнение пунктом — Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331-ФЗ) 10) (Пункт утратил силу — Федеральный закон от 30.12.2020 № 519-ФЗ) 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.11.

Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ «О государственной охране». (Дополнение частью — Федеральный закон от 01.07.2017 № 148-ФЗ) 2.

  1. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.3.
  2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора).

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.

В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 181 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федеральног Читать подробнее: Федеральный закон от 27.07.2006 г.

№ 152-ФЗ

Какой нормативный документ является основным в области защиты персональных данных?

Роскомнадзор — Нормативные правовые акты в области персональных данных Нормативные правовые акты в области персональных данных (Страсбург, 28 января 1981 г.) Директива Европейского Союза «О приватности и электронных коммуникациях» Трудовой кодекс Российской Федерации от 30.12.2001 г.

  1. Глава 14 «Защита персональных данных работника» Федеральный закон от 19.12.2005 г.
  2. «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Федеральный закон от 27.07.2006 г.
  3. «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27.07.2006 г.

«О персональных данных» Федеральный закон Российской Федерации от 25.07.2011 г. «О внесении изменений в Федеральный закон «О персональных данных» Федеральный закон от 30.12.2015 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» Федеральный закон от 21.07.2014 г.

  • О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» Указ Президента Российской Федерации от 06.03.1997 г.
  • «Об утверждении перечня сведений конфиденциального характера» Указ Президента Российской Федерации от 30.05.2005 г.

«Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» Указ Президента Российской Федерации от 17.03.2008 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» Распоряжение Президента Российской Федерации от 10.07.2001 г.

«О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных» Постановление Правительства Российской Федерации от 21.03.2012 г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Постановление Правительства Российской Федерации от 03.11.1994 г.

«Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности» Постановление Правительства Российской Федерации от 01.11.2012 г.

  • «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 06.07.2008 г.
  • «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства Российской Федерации от 15.09.2008 г.

«Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 04.03.2010 г. «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» Приказ Роскомнадзора от 05.09.2013 г.

«Об утверждении требований и методов по обезличиванию персональных данных» Распоряжение Правительства Российской Федерации от 15.08.2007 г. «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных» Приказ ФСБ России от 09.02.2005 г. «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации.

Положение ПКЗ 2005)» Приказ ФСТЭК России от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ Минкомвязи России от 20.07.2017 г.

О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ» от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403 Приказ Роскомнадзора от 30.05.2017 г. «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» Приказ Роскомнадзора от 30.10.2018 г.

«О внесении изменений в М етодические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» Постановление Правительства Российской Федерации от 13.02.2019 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» Время публикации: 20.01.2010 11:21 Последнее изменение: 21.03.2019 06:31

Что является правовым основанием для обработки персональных данных?

Политика при обработке персональных данных граждан Российской Федерации Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных. Оператор обрабатывает персональные данные на основании:

Трудового кодекса Российской Федерации; иных федеральных законов и прочих нормативных правовых актов; устава Оператора; договоров, заключаемых между Оператором и субъектами персональных данных; согласий на обработку персональных данных.

Читать подробнее: Политика при обработке персональных данных граждан Российской Федерации

Что такое трансграничная передача персональных данных?

На сегодняшний день много вопросов у специалистов по информационной безопасности вызывает трансграничная передача персональных данных. Для начала определимся с понятиями. Трансграничная передача персональных данных — это передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

  1. Вообще вопрос трансграничной передачи данных возник, когда начался процесс объединения Европы.
  2. Необходимо было, во-первых, унифицировать единое законодательство, а во-вторых, перевести трансграничную передачу в узаконенные рамки.
  3. Так была создана Конвенция, но вопрос о том, как государство сможет защитить персональные данные своего гражданина после того, как они оказываются за территорией страны, — остался открытым.

Гражданин имеет право отстоять свои интересы в своей собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов для него было практически невозможно. Как же должна осуществляться трансграничная передача данных, какие документы необходимо получить от субъекта персональных данных? Какая ответственность предусмотрена для операторов за осуществление незаконной трансграничной передачи персональных данных? На данный момент законодательно закреплена только «общая» ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 Кодекса об административных правонарушениях Российской Федерации).

По информации Уполномоченного органа по защите прав субъектов персональных данных, в настоящее время в Государственной Думе на рассмотрении во втором и третьем чтении находится законопроект «О внесении изменений в некоторые законодательные акты Российской Федерации», в том числе в Кодекс об административных правонарушениях Российской Федерации.

Среди таких изменений — дополнение его статьей, предусматривающей ответственность за нарушение законом порядка сбора, хранения, использования или распространения персональных данных». По всей видимости, внесение дополнений было продиктовано неоднозначностью толкования российского законодательства и разнородностью нормативно-правовой базы тех стран, на территорию которых передаются персональные данные.

  1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
  2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
  3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
    1. наличия согласия в письменной форме субъекта персональных данных;
    2. предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
    3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
    4. исполнения договора, стороной которого является субъект персональных данных;
    5. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных»

Приведенные в законодательстве исключения вопросов не вызывают, они вполне обоснованы, поэтому попробуем проанализировать действия оператора ПДн по трансграничной передаче ПДн при отсутствии таких обстоятельств. Тем более, что основные споры по поводу трансграничной передачи данных возникают в результате вопросов, связанных с различием законодательств стран и передачи данных без вышеперечисленных обязательств.

  • Общие положения (организационная структура компании; страна (страны), в которую передаются ПДн; цель передачи и обработки ПДн за границей);
  • Правовое обоснование трансграничной передачи персональных данных (перечень нормативно – правовых документов, на основании которых осуществляется передача и обработка ПДн);
  • Описание объекта защиты;
  • Характеристики передаваемых ПДн (категории ПДн, передаваемых за границу; категории субъектов ПДн; способы обработки ПДн (автоматизированная, неавтоматизированная, смешанная обработка));
  • Регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание ИСПДн из которой (которых) передаются ПДн; описание ИСПДн, куда передаются ПДн; каналы передачи данных; стандарты и протоколы передачи данных и т.д.); Описание мероприятий и средств обеспечения защиты передаваемых ПДн (организационные мероприятия; технические средства защиты информации, в том числе средства криптографической защиты информации);
  • Состав законодательства иностранного государства, отражающего вопросы защиты ПДн;
  • Заключительные положения (зарубежный филиал обязуется соблюдать законодательство по обработке ПДн страны, в которой он находится; обязуется обеспечить соответствующую защиту полученных и обрабатываемых ПДн; подписи ответственных лиц головной организации и зарубежного филиала под вышеперечисленными положениями).

Преимущества такого подхода в том, что он позволяет минимизировать риски реализации угроз персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдение установленных норм информационной безопасности. Статья предоставлена компанией ReignVox