Регулирование персональных данных в рфизменения с 1 сентября 2015 года

Новые правила работы с персональными данными

Новые правила работы действуют для владельцев сайтов, которые размещают на своих ресурсах формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные. Иногда владельцы сайтов могут и не подозревать, что сервисы Google, которыми они пользуются, пересылают данные на зарубежные сервера.

С 1 сентября 2022 года и с 1 марта 2023 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152 О персональных данных. Появились новые требования к обработке персональных данных и трансграничной передаче, то есть отправке персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать новые требования, его могут оштрафовать.

Как подготовиться к новым правилам по 152-ФЗ

Что проверяет Роскомнадзор на сайте компании?

В настоящее время проведение проверок со стороны Роскомнадзора (РКН) приостановлено до 2030 года. Тем не менее не следует снижать бдительность и пренебрегать требованиями информационной безопасности. Роскомнадзор всё ещё имеет право выборочно проверять сайты компаний. Особенное внимание уделяют тем организациям, которые оказывают услуги физлицам.

Что проверяет РКН

Где нарушения выявляются чаще всего

1 место — Условия обработки ПДн и согласие субъекта ПДн на обработку (п.1 ч.1 ст.6 152-ФЗ и ч.1 ст.9 152-ФЗ)

2 место — Доступ к документу, определяющему политику компании в отношении обработки персональных данных (ч.2 ст.18.1 152-ФЗ)

3 место — Наличие cookie-баннеров

Отдельное место в списке нарушений отведено подаче уведомлений в РКН. Ведомство проверяет наличие компании в реестре операторов, используя ИНН организации. Если компании нет в реестре, инспекторы фиксируют нарушение и выдают организации соответствующее предписание.

После проверки на почту компании отправляют предписание об устранении нарушений в течение 10 дней. Если нарушитель не выполнит указанные в предписании меры, он заплатит штраф в размере от 10 тысяч рублей и выше. Чтобы избежать штрафа, рекомендуем заранее ознакомиться с требованиями закона.

Для создания документов, которые проверяет РКН, вы можете воспользоваться нашим сервисом 152DOC. Он поможет вам описать политику обработки персональных данных, составить согласие на обработку ПДн и все необходимые регламенты и приказы. Сервис 152DOC станет вашим надёжным партнёром и обеспечит соблюдение законодательства.

Чек-лист для владельцев сайтов

Рекомендуем ознакомиться с чек-листом для владельцев сайтов, который поможет установить необходимый порядок обработки персональных данных на сайте и избежать штрафов от РКН. Передача данных на заграничные ресурсы и хранение там информации приведут к штрафу в размере от 30 тысяч рублей до нескольких миллионов. Воспользовавшись нашим чек-листом, вы сможете обеспечить соответствие вашего сайта требованиям закона и минимизировать риски возможных штрафов.

Условия обработки персональных данных

В этом материале:

Обработка данных с согласия субъекта

По общему правилу обработка персональных данных может осуществляться с согласия субъекта персональных данных (далее – Согласие) (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Согласие человека должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 Закона № 152-ФЗ).

Конкретность и предметность согласия

Конкретность и предметность Согласия обеспечивается тем, что цели обработки персональных данных должны быть четкими, ясно выраженными, обоснованными и понятными. Цель обработки не следует формулировать слишком обобщенно, абстрактно. Разрешая оператору обрабатывать персональные данные субъект одобряет его действия лишь в том виде и в том объеме, в котором они изначально запланированы. Согласие не может быть всеобщим. Поэтому, если в процессе обработки персональных данных меняются цели обработки, способы и т. п., оператор должен получить новое Согласие.

Информированность согласия

Информированность Согласия предполагает, что субъект персональных данных перед дачей Согласия должен получить минимальный набор информации о том, кто собирает персональные данные, в каких целях, о видах обработки, о праве отзыва Согласия и т. п.

Однозначность согласия

Требование однозначности Согласия тесно связано с требованием об информированности и состоит в том, что волеизъявление гражданина должно быть выражено недвусмысленно, совершено посредством четкого утвердительного действия, будь то письменное или устное подтверждение, но ни в коем случае не молчание и не бездействие.

Принцип автономии воли

Подчеркнем, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (ч. 1 ст. 9 Гражданского кодекса). Принцип автономии воли подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но и свободное выражение своей воли. Волеизъявление – важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Согласие будет свободным, если у правообладателя имелся выбор, давать его или нет, и на каких условиях. Согласие не может считаться свободным, когда предоставление гражданину каких-либо услуг обусловлено обязательной дачей Согласия на обработку его персональных данных.

Форма согласия

• Письменное согласие
• Устное согласие
• Электронное согласие
• Молчание или бездействие не являются формой согласия

Электронные подписи в юридически значимых документах

Если Согласие составляется в форме электронного документа, то оно должно быть подписано электронной подписью (ч. 4 ст. 9 Закона № 152-ФЗ).

Электронная подпись

Электронная подпись является аналогом собственноручной подписи и используется в случаях и порядке, предусмотренных законом или соглашением сторон (п. 2 ст. 160 ГК РФ).

Отношения в области использования электронных подписей при совершении сделок, оказании услуг, исполнении функций, а также в других юридически значимых действиях, регулирует Закон № 63-ФЗ Об электронной подписи.

Оформление согласия

Закон № 152-ФЗ допускает оформление согласия в форме электронного документа, подписанного электронной подписью. Оператор может использовать простую электронную подпись для этого.

Для признания электронного документа равнозначным бумажному, необходимо заключить с гражданином соглашение, соответствующее требованиям Закона № 63-ФЗ.

Подписание документа

Электронный документ считается подписанным ПЭП при выполнении одного из условий: ПЭП содержится в документе, ключ ПЭП применяется с указанием лица, от имени которого создан документ.

Для легализации такого документооборота оператор должен издать соответствующий локальный акт и ознакомить всех участников.

Обработка персональных данных

При соблюдении требований законодательства об обработке данных и обеспечения безопасности не возникает препятствий для использования электронной подписи при оформлении договорных отношений.

Оператору важно обеспечить возможность подтвердить факт получения согласия на обработку персональных данных, так как он должен доказать факт обработки данных с согласия субъекта.

Согласие на обработку персональных данных несовершеннолетнего и лица, ограниченного в дееспособности

Важно учитывать, что при недееспособности гражданина письменное согласие на обработку его данных дает его законный представитель. В случае смерти такое согласие оформляют наследники умершего, если оно не было получено от него самого при жизни.

Законодатель не устанавливает явно, с какого возраста субъект персональных данных может выражать свое согласие на обработку информации о себе самостоятельно. Однако указывается на обязательность представительства в отношении недееспособных лиц, в то время как несовершеннолетние и лица, ограниченные в дееспособности, не являются недееспособными.

Считаем, что представительство лиц, находящихся под опекой, то есть малолетних детей до 14 лет, важно по вопросам обработки их персональных данных. Однако несовершеннолетние в возрасте от 14 до 18 лет, вероятно, могут давать согласие самостоятельно, поскольку законом не установлено запрета на это.

В отличие от отечественного законодательства, в Регламенте (ЕС) Европейского Парламента и Совета 2016/679 урегулирован вопрос о согласии на обработку персональных данных лицами в возрасте до 16 лет. Если ребенку не исполнилось 16 лет, обработка его данных является законной лишь при наличии согласия от лица, обладающего родительской ответственностью. Государствам-членам предоставлена возможность установить возраст не ниже 13 лет для данной цели.

В случае, если информационные услуги предоставляются непосредственно ребенку, согласие от лиц, обладающих родительской ответственностью, не требуется.

Аналогичный подход должен иметь место и в отношении лица, ограниченного в дееспособности (ст. 30 ГК РФ). Правовой эффект ограничения дееспособности гражданина состоит в том, что он лишается возможности без помощи попечителя участвовать в имущественном обороте, за исключением совершения мелких бытовых сделок (п. 1 ст. 30 ГК РФ). Однако это не препятствует ему участвовать в иных правоотношениях, в том числе и тех, которые регулируются законодательством в области защиты персональных данных.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Для обработки персональных данных, разрешенных для распространения, оформляется отдельное согласие (требования к нему предусмотрены в приказе Роскомнадзора от 24 февраля 2021 г. № 18). Субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц (исключение: обработка персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ). Оператор же обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

Согласие может быть предоставлено оператору:

Обращаем внимание, что субъект вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных для распространения, в любое время к любому лицу, обрабатывающему его персональные данные, или в суд. Требование должно включать в себя в том числе перечень персональных данных, обработка которых подлежит прекращению. Лицо же обязано прекратить передачу (распространение, предоставление, доступ) данных в течение 3 рабочих дней с момента получения требования или в срок, указанный во вступившем в судебном решении (если срок не указан, то в течение 3 рабочих дней с момента вступления в силу решения суда).

Особенности обработки персональных данных о судимости

В соответствии с ч. 3 ст. 10 Закона № 152-ФЗ обработка персональных данных о судимости может осуществляться госорганами или муниципальными органами в пределах их полномочий, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

В частности, такое право есть у полиции. Сотрудники полиции могут обрабатывать данные о гражданах, необходимые для выполнения возложенных на них обязанностей, с последующим внесением полученной информации в банки данных (ч. 1 ст. 17 Федерального закона от 7 февраля 2011 г. № 3-ФЗ "О полиции", далее – Закон № 3-ФЗ). Так, внесению в банки данных подлежит информация о лицах, подвергающихся или подвергавшихся уголовному преследованию. Полиция должна обеспечить защиту данной информации от неправомерного и случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий. Статья 17 Закона № 3-ФЗ допускает раскрытие содержащейся в банках данных информации государственным органам и их должностным лицам только в случаях, предусмотренных федеральным законом; правоохранительным органам иностранных государств и международным полицейским организациям – в соответствии с международными договорами РФ, а также гражданину, права и свободы которого непосредственно затрагиваются содержащейся в банках данных информацией.

Необходимость обработки персональных данных граждан, связанных с фактами осуждения, обусловлена также положениями ст. 65 и 331 Трудового кодекса. Отсутствие судимости, в том числе снятой или погашенной, является обязательным требованием, которое предъявляется к лицу, назначаемому на должность прокурора, к кандидатам на должность судьи, к лицам, принимаемым на службу или на работу в органы федеральной службы безопасности и т. д. В таких случаях работодатель вправе осуществлять обработку персональных данных о судимости.

С позицией Верховного Суда Российской Федерации по вопросу о признании недействующим подп. 76.2 п. 76 Административного регламента МВД России по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования можно ознакомиться в Решении ВС РФ от 18 июля 2022 г. № АКПИ22-365.

Особенности обработки биометрических персональных данных

Напомним, биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, которые обрабатываются оператором исключительно в целях идентификации субъекта персональных данных. Как указывает Минцифры России, к ним относятся физиологические параметры (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображения (фотография и видеозапись), в частности фотографические изображения обучающихся, сотрудников и посетителей организации, поскольку они характеризуют физиологические и биологические особенности человека (письмо от 28 августа 2020 г. № ЛБ-С-074-24059).

Для обработки биометрических персональных данных требуется согласие самого субъекта (или его законного представителя). При этом в соответствии с ч. 2 ст. 11 Закона № 152-ФЗ такое согласие не требуется в случае:

Предоставление биометрических персональных данных не может быть обязательным, кроме случаев, когда не требуется согласия субъекта. Оператор не может отказывать в обслуживании гражданину в случае отказа предоставить биометрические персональные данные или дать согласие на их обработку.

Подробнее о единой биометрической системе, дактилоскопической идентификационной системе и системе генетической идентификации, читайте в Энциклопедии решений системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов единой биометрической системы, утверждена распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р.

Последняя актуализация: 23 июня 2023 г.

Юридическая компания «Пепеляев Групп» сообщает, что 18 ноября 2023 года вступил в силу Приказ Минцифры России от 17.08.2023 № 720Приказ Минцифры России от 17.08.2023 № 720 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187» , дополняющий перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.

Приказом Минцифры России от 15.11.2021 № 1187Приказ Минцифры России от 15.11.2021 № 1187 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных» утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (далее – индикатор риска). Выявление Роскомнадзором у оператора хотя бы одного индикатора риска является основанием для проведения внепланового контрольного (надзорного) мероприятия (далее – внеплановой проверки

Приказом Минцифры от 17.08.2023 № 720 к данному перечню добавлен новый индикатор риска, а именно:

Рекомендации

В соответствии с ч. 2 ст. 18.1 Федерального закона «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Политика в отношении обработки персональных данных должна определять для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных основанийП. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» .

Роскомнадзором активно проводятся мероприятия по контролю без взаимодействия с контролируемым лицом, которые включают в себя:

a) наблюдение за соблюдением требований при размещении информации в сети «Интернет»;

b) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется оператором (например, в уведомлении о намерении осуществлять обработку персональных данных) в Роскомнадзор или может быть получена Роскомнадзором (в том числе в рамках межведомственного информационного взаимодействия)П. 59 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» .

То есть Роскомнадзор вправе самостоятельно анализировать сайт оператора (без взаимодействия с ним). Полагаем, что в случае сравнения Роскомнадзором информации, указанной в реестре операторов персональных данных, и в политике в отношении обработки персональных данных, размещенной на сайте оператора, и выявления несоответствий в указанных сведениях, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.

Указанный выше индикатор риска действует с 18 ноября 2023 г.

Помимо приведенного выше, основанием для проведения Роскомнадзором внеплановой проверки может также стать выявление одного из следующих индикаторов риска:

В соответствии с п. 1 ч. 3 ст. 23 Федерального закона «О персональных данных» Роскомнадзор имеет право запрашивать у физических или юридических лиц (операторов) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Оператор обязан сообщить в Роскомнадзор необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

В то же время согласно ч. 1 ст. 17 Федерального закона «О персональных данных», если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке.

Если в течение календарного года Роскомнадзором будет установлено 10 и более фактов несоответствия сведений, предоставляемых оператором, и информации, поступившей от субъектов персональных данных, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.

Полагаем, в данном случае речь идет об «утечках» персональных данных в тех случаях, когда невозможно достоверно определить, кому именно принадлежит база данных, подверженная «утечке», однако по отдельным признакам можно говорить о принадлежности базы данных определенному оператору.

Напомним, что предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных ФЗ «О персональных данных» и принимаемыми в соответствии с ним иными нормативными правовыми актами.

В соответствии с п. 37 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данныхУтверждено Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных». такой контроль (надзор) осуществляется посредством проведения плановых и внеплановых контрольных (надзорных) мероприятий (далее – проверок).

Исходя из положений п. 11(3) Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» до 2030 года в планы проведения плановых проверок включаются проверки только в отношении операторов, отнесенных к категории высокого рискаКритерии отнесения операторов к определенной категории риска определены Приложением к Положению о контроле за обработкой персональных данных. .

Что касается внеплановых проверок, то в 2023 году они проводятся исключительно по основаниям, перечисленным в пункте 3 Постановления Правительства № 336, в том числе:

В соответствии с положениями ч. 2 ст. 90 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» в случае выявления несоответствий требованиям законодательства результатом проведенной внеплановой проверки может стать:

Также напомним, что административная ответственность за нарушение законодательства РФ в области персональных данных установлена ст. 13.11 Кодекса РФ об административных правонарушениях. Например, в случае отсутствия у оператора согласий на обработку персональных данных (если их получение обязательно), на него может быть наложен административный штраф в размере от 60 тыс. до 100 тыс. руб.Ч. 1 ст. 13.11 КоАП РФ А в случае использования оператором баз данных, находящихся за пределами территории РФ, при сборе персональных данных, в том числе посредством сети «Интернет»Ч. 8 ст. 13.11 КоАП РФ. , штраф может составить от 1 млн руб. до 6 млн руб.

О чем подумать, что сделать

Проведение Роскомнадзором внеплановой проверки (даже в условиях действующих ограничений) в отношении оператора возможно в следующих случаях:

Таким образом, у каждого оператора персональных данных есть риск проведения Роскомнадзором внеплановой проверки, что может привести к привлечению оператора к административной и/или уголовной ответственности.

Для минимизации рисков привлечения к ответственности за нарушения в области законодательства о персональных данных рекомендуем:

Особое внимание рекомендуем уделить содержанию и функционала сайта компании. Необходимо:

В случае, если компания не подавала уведомление о намерении осуществлять обработку персональных данных и не внесена в реестр операторов персональных данных, необходимо дополнительно оценивать риски, связанные с возможным выявлением несоответствий в предоставленной информации.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку в соблюдении требований законодательства о персональных данных.

Спектр услуг «Пепеляев Групп» включает:

Проверки по защите персональных данных

От 1% до 3% – составит размер оборотных штрафов на компании за утечку персональных данных, ПДн. В сентябре 2023 года выйдет соответствующий законопроект. Смягчающим обстоятельством может стать соблюдение требований по защите ПДн по результатам соответствующей проверки.

Мораторий на плановые проверки бизнеса действует до конца 2023 года, согласно Постановлению Правительства от 10.03.2023 № 336. Тем не менее, проверить могут и внепланово – об этом поговорим далее – поэтому следует подготовиться заранее.

Соблюдение требований по защите персональных данных контролируют 3 госоргана: Роскомнадзор, ФСТЭК и ФСБ. Рассмотрим особенности проверок, типовые ошибки и рекомендации по подготовке для каждого.

Проверки Роскомнадзора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор – регулятор в сфере защиты ПДн.

Виды и особенности проверок

Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.

В организацию приезжают представители Роскомнадзора и проводят проверку на предмет соответствия требованиям 152-ФЗ.

Мероприятия систематического наблюдения

Удаленный контроль за выполнением требований законодательства операторами ПДн.

– Проводятся раз в 3 года, в соответствии с 294-ФЗ.

– Проводятся как в отношении операторов, включенных в Реестр, так и не включенных, но осуществляющих обработку ПДн.

– О плановых проверках Роскомнадзор предупреждает заранее – не позднее, чем за 3 рабочих дня.

– Чаще всего проводятся:

а) на основании выявленных нарушений в действиях оператора;

б) в случае поступления жалобы на действия оператора;

в) по результатам мероприятий систематического наблюдения.

– О внеплановых проверках Роскомнадзор предупреждает не менее чем за 24 часа до начала проверки.

– В случае причинения вреда жизни и здоровью граждан оператор не предупреждается о начале внеплановой проверки.

По условиям моратория, о котором упоминалось выше, Роскомнадзор может внепланово проверить оператора ПДн:

Порядок подготовки к проверке Роскомнадзора

1. Назначить лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.

2. Провести внутренний аудит в целях анализа процессов обработки ПДн в ОМСУ.

3. Разработать и утвердить необходимую документацию по защите ПДн.

4. Ознакомить всех сотрудников, осуществляющих обработку ПДН и имеющих доступ к обрабатываемым ПДн, под роспись – с локальными актами по защите ПДн.

5. Подать уведомление о намерении осуществлять обработку ПДн в Роскомнадзор.

6. Определить места нахождения баз данных ПДн граждан РФ.

7. Завести и поддерживать в актуальном состоянии журналы.

8. Вести план внутренних проверок режима обработки и защиты ПДн.

9. Обратить внимание на особенности разработки согласий для категорий субъектов, чьи ПДн обрабатываются.

Перечень наиболее часто встречающихся замечаний от Роскомнадзора

Рекомендации: выкладывайте Политику в отношении обработки на сайт, в том числе, если используется сбор ПДН через онлайн-формы.

Рекомендации: вовремя актуализируйте уведомление об обработке ПДн, отправляйте информационное письмо в Роскомнадзор.

Рекомендации: в договоре должно быть прописано, с какой целью передаются ПДн другой организации, какие действия она будет совершать с ними, обязанность организации обеспечивать конфиденциальность и безопасность полученных ПДн (ч.3. ст.6 152-ФЗ)

Рекомендации: обеспечьте раздельное хранение документов, содержащих ПДн разных физических лиц; обеспечьте контролируемый доступ в помещения, в которых обрабатываются ПДн. В конце рабочего дня документы с ПДн должны быть убраны в запираемые шкафы, сейфы

Рекомендации: соберите подписи сотрудников, которые работают с ПДн, под Политикой, Положением, инструкциями, подписать обязательство о соблюдении конфиденциальности, согласие на обработку их ПДн.

Проверки ФСБ

Федеральная служба безопасности, ФСБ – регулятор в сфере обеспечения информационной безопасности.

Проводится согласно «Плану проведения плановых проверок юридических лиц и индивидуальных предпринимателей».

Основания для проведения внеплановой проверки

Подготовка к проверкам ФСБ

Требования по технической защите информации

Проверяемые требованияЧто предоставляется

Организационные меры защиты информации– Приказ о назначении ответственного пользователя СКЗИ – Инструкция ответственного пользователя СКЗИ

Криптографические меры защиты информации– Модель угроз на каждую ИС – Документы на поставку СКЗИ организации

Разрешительная и эксплуатационная документация на СКЗИ– Лицензия на СКЗИ – Сертификаты соответствия на СКЗИ – Формуляры на СКЗИ

Требования к персоналу, допущенному к работе с СКЗИ– Перечень сотрудников, допущенных к работе с СКЗИ – Инструкция пользователей СКЗИ

Эксплуатация СКЗИ– Журнал поэкземплярного учета СКЗИ – Лицевые счета пользователей СКЗИ – Акты установки СКЗИ

Оценка соответствия применяемых СКЗИ– СКЗИ – Дистрибутивы на СКЗИ

Типовые нарушения при проверках ФСБ России

Федеральная служба по техническому и экспортному контролю, ФСТЭК – регулятор в сфере обеспечения технической защиты информации.

Подготовка к проверкам ФСТЭК России

Соблюдение обязательных требований в области технической защиты информации, в том числе ПДн при их автоматизированной обработке в информационных системах (ГИС/ИСПДн)– Приказ о назначении ответственных за обеспечение безопасности информации – Инструкция ответственного за обеспечение безопасности информации – Модели угроз на каждую ИС – Акты классификации ИС – Сертифицированные СЗИ

Эксплуатационные документы и материалы аттестационных испытаний объектов информатизации– Сертификаты, формуляры на СЗИ – Лицензии на СЗИ – Аттестационная документация – Технический паспорт ИС – Журнал учета СЗИ

Техническая и иная документация по созданию системы защиты информации в ГИС– Техническое задание на создание системы защиты – Регламент применения технических мер по защите информации

Требования к персоналу, допущенному к работе с СКЗИ– Договор/контракт на создание системы защиты информации – Материалы о результатах контроля эффективности

Об ответственности за несоблюдение требований законодательства в сфере защиты персональных данных писали тут.

Обо всех обновлениях ФЗ-152 “О персональных данных” – тут.

Подробнее об аттестации информационных систем, о которой упоминали выше – здесь.

Если остались вопросы по теме персональных данных и их защите – напишите нам сюда.

Навигация по записям

Законом 242 внесены изменения в законы 152 ("О персональных данных"), 149 ("Об информации") и 249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля").

С 1 сентября 2015 года персональные данные россиян должны обрабатываться с использованием баз данных, расположенных на территории РФ

Экономика данных (национальный проект)

Основная статья: Экономика данных (национальный проект)