Останнім часом нам все частіше пропонують поставити свій підпис під фразою «Про згоду на використання та обробку персональних даних»: у будь-яких соціальних та фінансових установах, комунальних службах при прийомі на роботу. Вимагають наші «добровільні згоди» сьогодні у ВНЗ, школах, дитячих садках, поліклініках та навіть бібліотеках! Не відстають магазини, готельні та ресторанні комплекси - для отримання дисконтної картки ви зобов'язані заповнити та підписати анкету, де внизу дрібним шрифтом позначено вашу згоду на обробку персональних даних. Для чого це потрібно: з метою безневинного обліку або для перетворення людини на безправний додаток до світової електронної системи? Давайте розумітися.

Що є персональні дані людини і кому вони потрібні?

Отже, поняття «персональні дані людини» включає не тільки його ім'я, по батькові, прізвище та адресу реєстрації, як ми звикли розуміти. Це повністю вся інформація, яка прямо чи опосередковано стосується конкретної фізичної особи: біометричні дані, відомості про стан здоров'я та фізіологічні особливості, національність, віросповідання, склад сім'ї, наявність судимості, інформація про сферу зайнятості, фінансові доходи та інше.

У 2005 році Росія затвердила Конвенцію Ради Європи "Про захист фізичних осіб при автоматичному обробленні персональних даних". Після цього було прийнято Федеральний закон (ФЗ-№152) «Про персональні дані», основні тези якого повторює вищезгаданий міжнародний акт. Більшість людей вважає, що закон передбачає захист особистих даних людини. Але чи це так насправді?

Особливо насторожує в документі таке поняття як «автоматична обробка даних», яке передбачає як накопичення та зберігання даних особи, так і передачу їх третім особам та використання у різних цілях. Право виконувати ці дії належить так званому оператору, виступати у ролі якого можуть юридичні чи фізичні особи, державні структури, комерційні організації.

Але головним оператором є комерційна структура ВАТ «Універсальна електронна карта». Саме вона має право визначати склад персональних даних, цілі їх обробки та здійснювати над ними будь-які дії.

Що ховається за поняттями «використання» та «обробка» персональних даних?

Здавалося б, навіщо лікарням, навчальним закладам, ЖЕКам, роботодавцям стало необхідно надавати таку повну інформацію про себе, свою сім'ю, матеріальне становище, якщо зовсім недавно ще не було цієї потреби? Такий жорсткий збір всіх особистих даних розпочався з прийняттям Федерального закону № 210 «Про організацію надання державних та муніципальних послуг», після чого на всю і запрацювали раніше ухвалений закон «Про персональні дані».

Кому це потрібно? Безумовно, не соціальним та комерційним структурам – вони лише інструмент для збору інформації. Усі дані фіксуватимуться безпосередньо у головного оператора - ВАТ «УЕК», який планує незабаром забезпечити всіх громадян електронними документами та запустити активну ретельну обробку кожної людини.

А що мається на увазі під словом «обробка» та «використання»? Громадяни розуміє під цим поняттям банальний збір та зберігання інформації. А на що насправді погоджується людина?

У п. 3 ч. 1 ст. 3 ФЗ № 152 це позначено так:

«Обробка» включає будь-яку дію (операцію) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (розповсюдження, надання, доступ), ЗНЕЗЛІЧЕННЯ, БЛОКУВАННЯ, ВИДАЛЕННЯ, ЗНИЩЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ.»

Таким чином, люди добровільно передають у чужі руки дозвіл розпоряджатися своїм особистим життям. Тепер головний оператор, у майбутньому забезпечивши вас електронним біометричним документом, матиме всю повну інформацію, що стосується вашого здоров'я, наявності родичів, соціальних виплат, скоєних угод, податках, господарських покупок і навіть пересування! І, якщо ви, як власник універсальної електронної карти, не будете згодні з деякими діями оператора, тоді всі ваші дані він може просто заблокувати або зовсім знищити, як повноправний господар вашої персональної інформації. Адже ви заздалегідь погодилися на можливість застосування до себе подібних заходів!

Як це працює сьогодні?

Активний процес обробки персональних даних тільки починає впроваджуватися в наше повсякденне життя, але деякі громадяни вже встигли відчути на собі наслідки таких законних дій.

Так, обов'язкову згоду на обробку персональних даних вимагають деякі освітні установи країни. Згідно з коментарями студентів, у разі відмови давати свою згоду, їх просто не допустять до іспитів і не видадуть дипломи.

Також і справи з частиною державних лікувальних закладів, де громадянин зобов'язаний надати лікарні не лише інформацію про здоров'я та номер медичного полісу, а й страховий номер індивідуального особового рахунку в Пенсійному фонді (СНДЛЗ) – основний ключ доступу до інформаційних баз ВАТ «УЕК». У бланку «Згода пацієнта на обробку персональних даних» існує позначка, що у разі відмови у згоді, клініка має право відмовити в медичних послугах пацієнту.

Те саме стосується будь-яких інших державних та комерційних установ, які вимагають від своїх клієнтів обов'язкової згоди на обробку та використання персональної інформації, аргументуючи це необхідністю бухгалтерського, кадрового чи військового обліку. Як поводитися в таких ситуаціях — читайте далі.

Як бути, якщо роботодавець наполягає на підписанні, дозволити використовувати вашу особисту інформацію і чи має він на це право?

Відповідно до закону, будь-які дії, що стосуються персональної інформації співробітника, можуть здійснюватися лише за його згодою письмово. Роботодавець зобов'язаний довести під розпис майбутньому співробітнику, з якою метою та в якому порядку зберігатимуться та використовуватимуться надані ним відомості, а також про можливість відмовитися або в майбутньому написати відкликання своєї згоди на обробку персональних даних.

Відповідно до ст. 5.27 та ст. 5.39 КоАП Росії передбачається адміністративна відповідальність порушення норм зберігання та обробки особистих даних працівників. У разі порушення законодавства керівництво компанії зобов'язане відшкодувати матеріальні збитки працівникові за незаконне використання його персональної інформації.

Якщо ви за незнанням колись підписали дозвіл на використання особистих даних, то тепер знайте, що маєте право його відкликати. Відкликання може бути складено у вільній формі, але з обов'язковим посиланням на чинні закони. Пропонуємо зразок такої заяви:

Генеральному директору ТОВ ___________
Від ________________
Зареєстрованого за адресою:
___________________________
Паспортні дані: ________

Відгук згоди
на обробку персональних даних

Я, ПІБ, відповідно до ч. 1 ст. 9 Федерального закону від 27.07.2006р. № 152-ФЗ «Про персональні дані» відкликаю у Товариства з обмеженою відповідальністю «_________» згоду на обробку моїх персональних даних.
Прошу припинити обробку моїх персональних даних протягом тридцяти робочих днів з моменту надходження цього відгуку.

Дата. Підпис.

Деякі юристи вважають, що відгук на обробку персональних даних нічого не вирішує, адже на момент його написання вся інформація про людину вже занесена в потрібні електронні бази для подальшого використання. Але принаймні ви виконаєте свій обов'язок з позиції православного християнина і, можливо, пригальмуйте процес подальшого оновлення ваших особистих даних.

Як законно відмовитися від збору персональних даних у дитячих садках та школах?

Останнім часом велику тривогу забили батьки, адже адміністрація дошкільних та загальноосвітніх закладів фактично змушує їх підписувати згоду на обробку та використання персональної інформації про дитину та членів її сім'ї. Це виходить, що ви повинні добровільно відмовитися від права на недоторканність вашого приватного та сімейного життя? Адже автоматичне оброблення персональних даних передбачає передачу зібраної інформації третім особам без обмежень.

Пам'ятайте, що давати чи не давати свою згоду – це ваше право, а не обов'язок. Нижче наведено приклад заяви про відмову надання особистих відомостей про дитину для подальшої їх обробки:

В адміністрацію школи/дитсадка №
від__________________________________

ЗАЯВА

Я, ____________________________________, будучи законним представником своєї дитини _________________________________ , заявляю про свою категоричну відмову надавати ті чи інші відомості про приватне життя моєї дитини або моєї сім'ї відповідно до пункту 1 статті 23 Конституції РФ («Кожен має право на недоторканність приватного життя, особисте та сімейну таємницю, захист своєї честі та доброго імені»).
Також я забороняю використовувати стосовно моєї дитини будь-які психологічні тести та опитування, забороняю примушувати мою дитину до участі в цих тестах та опитуваннях, забороняю будь-який збір інформації про різноманітні сторони життя моєї дитини та моєї сім'ї. Вважаю за необхідне сповістити вас, що порушення вами моєї заборони підпадає під пункт 2 статті 137 Кримінального Кодексу РФ («Порушення недоторканності приватного життя з використанням свого службового становища») з урахуванням статті 63 КК РФ («Обставини, що обтяжують покарання»).
Користуючись нагодою, вважаю своїм обов'язком заявити про переконання, що це дії зі збору інформації про дітей, батьків та його сім'ях, зрештою, спрямовані руйнування інституту сім'ї нашій країні, що є антидержавним діянням.

"____" "_______________________" 20___г. _____________________
(Особистий підпис)

Безперечно, слід розуміти, що школі необхідно мати базову персональну інформацію про кожного учня з метою організації виховно-освітнього процесу. За законом, у момент перебування дітей у школі, за них відповідає Адміністрація цього навчального закладу. Тому, якщо вже виникла потреба передати конкретні відомості про дитину, то оформіть цей процес грамотно, використовуючи наведений приклад заяви:

Зразок згоди на обробку персональних даних школою, який не створює загрози порушення прав сім'ї.

Угода законного представника
НА ОПРАЦЮВАННЯ ПЕРСОНАЛЬНИХ ДАНИХ НЕПОЗНАЧНОЛІТНОГО

Я, ______________________________________________________________(ПІБ),
проживає за адресою ____________________________________________________________, Паспорт № _________________________ виданий (ким і коли) _____________________________
______________________________________________________________________________
є законним представником неповнолітнього ____________________________________ (ПІБ) на підставі ст. 64 п. 1 Сімейного кодексу РФ.
Справжнім даю свою згоду на обробку в ГОУ ЗОШ № ________ персональних даних моєї неповнолітньої дитини _____________________________, які стосуються виключно перелічених нижче категорій персональних даних:

• дані свідоцтва про народження;
• дані медичної картки;
• адресу проживання дитини;
• оцінки успішності дитини;
• навчальні роботи дитини

Я даю згоду на використання персональних даних моєї дитини виключно з таких цілей:

• забезпечення організації навчального процесу для дитини;
• ведення статистики.

Ця згода надається на здійснення працівниками ГОУ ЗОШ № ____ наступних дій щодо персональних даних дитини: збирання, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), використання (тільки у зазначених вище цілях), знеособлення, блокування (не включає можливість обмеження мого доступу до персональних даних дитини), знищення. Я не даю згоди на будь-яке розповсюдження персональних даних дитини, у тому числі на передачу персональних даних дитини будь-яким третім особам, включаючи фізичні та юридичні особи, установи, у тому числі зовнішні організації та особи, які залучаються ГОУ ЗОШ № ______ для здійснення обробки персональних даних, державні органи та органи місцевого самоврядування. Я даю згоду на обробку персональних даних дитини лише неавтоматизованим способом та не даю згоди на їх обробку автоматизованим способом.
Обробку персональних даних дитини для будь-яких інших цілей та будь-яким іншим способом, включаючи розповсюдження та передачу будь-яким третім особам, я забороняю. Вона може бути можлива лише з моєї особливої ​​письмової згоди у кожному окремому випадку.
Ця Угода діє до досягнення цілей обробки персональних даних у ГОУ ЗОШ № ______ або до відкликання цієї Угоди. Ця Згода може бути відкликана будь-якої миті за моєю письмовою заявою.
Я підтверджую, що, даючи справжню згоду, я дію за своєю волею та на користь дитини, законним представником якої є.

Дата: __.__._____ р.
Підпис: ________________________ (______________________)

Як правильно написати відмову на обробку персональних даних?

Як ми вже з'ясували, метою автоматизованого обліку особистої інформації громадян не гарантія прав людей, а виключна влада над ними. Так відбувається черговий етап побудови системи керування людиною.

У лютому 2014 року на сайті Московської Патріархії була опублікована інформація про звернення Патріарха Московського і всієї Русі Кирила до Президента Російської Федерації Володимира Путіна з проханням вжити законодавчих заходів, які б забезпечували право людини на використання традиційних посвідчень особи та способи їх обліку на паперових носіях. також надати правові гарантії існування, технічного оснащення та фінансування традиційної системи обліку.

Адміністрація Президента Російської Федерації направила у відповідь звернення Патріарха такого змісту:

«...Поділяючи Ваше занепокоєння щодо небажання деякої частини російських громадян отримувати інший вид паспорта - документ нового покоління, що містить електронні носії інформації, вважаю за можливе відзначити, що будь-які форми примусу людей до використання електронних ідентифікаторів особи, автоматизованих засобів збору, обробки та обліку персональних даних, особистої конфіденційної інформації є неприпустимим...».

Ще давно православні Старці та священнослужителі попереджали про те, що людей спокушатимуть за допомогою «хитромудрої брехні та жахливого обману».

Якщо ви бажаєте самостійно розпоряджатися своїм життям, а не давати право чужим особам, то замість підписання згоди на обробку своїх персональних даних радимо оформити заяву, зразок якої представлений нижче:

ЗАЯВА

про відмову підписати «Згода на обробку персональних даних»
(На підставі ст. Конституції РФ 2, 3, 15, 18, 23, 24, статті 12 ЦК України)

.................................................. ................. мені було запропоновано підписати бланк «Згода на обробку
(Дата)
персональних даних» для.............................................. .................................................. .................................................. ................
(вказати навіщо виходить «Злагода»)
Я не даю згоди на обробку моїх персональних даних за такими підставами:
1. Обов'язкове отримання згоди на обробку персональних даних при........................

(зазначити: надання медичної допомоги, виплати допомоги, оформлення угоди та ін.)
...................................................................................................................................................
суперечить Конституції РФ, гарантує громадянам це право без будь-яких умов. Відповідно до статей 2, 15, 18 права і свободи людини - найвища цінність, Конституція РФ має вищу юридичну силу та пряму дію.
2. Згода на обробку моїх персональних даних (персональних даних моїх дітей
..........................................................................................................................................................................
(вказати, якщо такі є)
..........................................................................................................................................................................
суперечить моїм інтересам та інтересам моєї сім'ї.
Відповідно до статті 9 Федерального закону №152-ФЗ "Про персональні дані" суб'єкт персональних даних приймає рішення про надання своїх персональних даних і дає згоду на їх обробку своєю волею та у своєму інтересі.
Відповідно до закону №152-ФЗ персональні дані - це будь-яка інформація, що відноситься до фізичної особи. Поняття «обробка» включає будь-які дії оператора з персональними даними: збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ, у тому числі передачу третім особам та транскордонну передачу), знеособлення, блокування, видалення, знищення персональних даних.
У 2009 році в №152-ФЗ «Про персональні дані» було внесено зміни, що скасували обов'язок операторів криптографічного (шифрувального) захисту персональних даних.
При використанні персональних даних оператор має право прийняття рішень або вчинення інших дій, що породжують юридичні наслідки щодо мене чи інших осіб як суб'єктів персональних даних.
Отримуючи згоду людини на обробку персональних даних – будь-якої інформації про мене та мою родину – оператор стає їх повним господарем.
Формальна фраза бланка про право відкликати згоду на обробку персональних даних нічого не вирішує, оскільки оператор на момент відкликання «Злагоди» вже має можливість використовувати свої повноваження у повному обсязі.
Згода на обробку персональних даних робить людину потенційним об'єктом будь-яких кримінальних маніпуляцій, оскільки ніхто не несе відповідальності за моральний стан операторів.
3. Отримання згоди «на обробку персональних даних - будь-якої інформації про людину» порушує положення статей 23, 24 Конституції РФ, що гарантує громадянам право на недоторканність приватного життя, особисту та сімейну таємницю, захист своєї честі та доброго імені.
4. Запропонований мені бланк «Злагоди» порушує принципи статті 5 «Принципи обробки персональних даних» №152-ФЗ «Про персональні дані»: про неприпустимість об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою; про обробку лише тих персональних даних, які відповідають цілям їхньої обробки; про відповідність змісту та обсягу оброблюваних персональних даних заявленим цілям обробки; про неприпустимість надмірності оброблюваних персональних даних стосовно заявлених цілей їх обробки.
На підставі викладених доводів, я відмовляюся від надання згоди на таку обробку моїх персональних даних (персональних даних моїх дітей) і прошу забезпечити дотримання моїх конституційних прав і свобод. Мої персональні дані, необхідні для внутрішнього використання у Вашому розпорядженні, вже є.
Я був(а) попереджений(а), що у разі відмови підписати «Злагоду» мені буде............................... .................................................. .................................................. .............................
(наслідки відмови підписати «Злагоду»)
У разі реалізації цієї загрози, прошу дати мені аргументовану письмову відповідь, яка мені буде необхідна для оскарження неправомірних дій посадової особи (службовця) та відшкодування матеріальних та моральних збитків.

З повагою,
"____" _____________ 20___ року

24 лютого 2016 о 17:35

Основи обробки персональних даних

• Блог компанії Зарцин та партнери ,
• Законодавство в IT
• Патентування

Ми вже починали говорити про персональні дані, їх збір та обробку. Але про це можна говорити нескінченно і ми продовжимо. Минулого разу ми говорили про зміни в законі, але не зважили на найголовніше - САМ ЗАКОН ВИ НЕ ЧИТАЛИ!.. І, судячи з зворотного зв'язку, інформація вимагає більш детального опрацювання.
Тому ми кілька разів перечитали всі закони та доповнення до них. Зробили з нього таку собі вичавку. Чітко за пунктами розписавши основні його норми та вимоги.

Основи основ

«Обробка персональних даних базується на принципах законності та справедливості»- каже ФЗ-152 «Про персональні дані». З цих поняттях ґрунтуються інші принципи, що відображають суть обробки персональних даних як процесу. І ось що вам потрібно запам'ятати:

1. Обробка персональних даних має відповідати цілям збору персональних даних;
Це означає, що Суб'єкт обробки ПДн (покупець, клієнт, працівник тощо) має бути повідомлено про цілі обробки. Тому цілі мають бути відображені у формі письмової згоди на обробку персональних даних.

2. Не повинні об'єднуватись бази даних, що містять персональні дані, обробка яких здійснюється в несумісних між собою цілях;
Тут усе очевидно: нічого не винні бути об'єднані бази персональних даних, містять, наприклад, фіскальну інформацію про працівників підприємства, і бази персональних даних клієнтів підприємства.

3. Об'єм персональних даних, що обробляється, не повинен бути надлишковим по відношенню до цілей їх обробки;
Виходить, що інтернет-магазин продає шкарпетки може обробляти персональні дані покупців, які можуть містити інформацію про переваги, про маркетингову активність, але персональні дані покупця, що говорять про наявність у нього, скажімо, захворювань, будуть надмірними.

4. При обробці персональних даних повинні бути забезпечені їх точність, достатність та актуальність стосовно цілей обробки;
Це необхідно насамперед для якісного та своєчасного виконання будь-якої юридично значущої дії, у якому використовуються персональні дані. Наприклад, для безпосереднього придбання товару.

5. Зберігання персональних даних має здійснюватися не довше, ніж цього вимагають мети обробки персональних даних.
Оброблювані персональні дані підлягають знищенню чи знеособленню після досягнення цілей обробки або у разі втрати необхідності досягнення цих цілей. Тобто якщо інтернет-магазин закривається, то базу персональних даних його покупців не можна залишати «ворогам», необхідно її хоча б знеособити.

Етапи роботи з персональними даними

1. Збір
При зборі персональних даних з відвідувачів сайту ми рекомендуємо у будь-якому випадку вказувати:

• найменування оператора;
• мета обробки персональних даних та її правову основу;
• ймовірні користувачі персональних даних;
• встановлені законом права суб'єкта персональних даних;
• джерело одержання персональних даних.

Крім того, на запит громадянина оператор з обробки персональних повинен надати:

• Підтвердження факту опрацювання персональних даних оператором;
• Найменування та місце знаходження оператора, відомості про осіб, які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з оператором або на підставі федерального закону;
• Строки обробки персональних даних;
• Інформацію про здійснену або про передбачувану транскордонну передачу даних;

2. Зберігання
Зберігання і запис, систематизація, накопичення, уточнення повинні здійснюватися біля РФ – це вже всі знають. Зберігання персональних даних може здійснюватися у будь-якій формі, зокрема паперової.
Обробка персональних даних може здійснюватися за кордоном, якщо база даних РФ містить рівний або більший обсяг персональних даних.

3. Використання
Пам'ятайте! Дії, що здійснюються із зібраними персональними даними, повинні здійснюватися строго відповідно до цілей, для яких вони були надані.
Тобто, якщо дані зібрані для придбання шкарпеток в інтернет магазині «А», то й використовуватися вони мають тільки для продажу магазину «А», якому ці дані залишили. Якщо ці дані використовуватиме продаж квартир на іншому ресурсі, це вже вважатиметься неправомірним використанням персональних даних.

4. Блокування
Якщо суб'єкт виявив, що його дані використовують неправомірно і звернувся до вас з претензією (або його представник/відповідний орган), то ви зобов'язані блокувати його персональні дані та перевірити правомірність їх використання. Якщо ці дані обробляє підрядник, ви повинні зробити все для блокування і перевірки даних звернувшегося.
Все те саме ви повинні провернути в тому випадку, якщо суб'єкт виявив неточності у своїх даних.
Блокування має здійснюватися з моменту такого звернення або отримання запиту на час перевірки, якщо блокування персональних даних не порушує прав та законних інтересів суб'єкта персональних даних або третіх осіб.

5. Знищення
А ось знищити дані або забезпечити припинення використання ви зобов'язані у разі відкликання згоди. Також, якщо збереження персональних даних більше не потрібне для обробки персональних даних.
Зробити все це необхідно в строк не більше тридцяти днів з дати надходження відкликання, якщо інше не передбачено договором.

Нагадаємо, що порушення встановленого законом порядку збору, зберігання, використання або розповсюдження інформації про громадян тягне за собою попередження або накладення адміністративного штрафу:

• на громадян у розмірі від трьохсот до п'ятисот карбованців;
• на посадових осіб – від п'ятисот до однієї тисячі рублів;
• на юридичних - від п'яти тисяч до десяти тисяч рублів.

Суми самі по собі невеликі, але сам факт привернення уваги наглядових органів може спричинити набагато серйозніші проблеми.

БОНУС

Транскордонна передача даних можлива, її ніхто не забороняв.
АЛЕ, ви зобов'язані

• зберігати та актуалізувати всі дані на серверах у РФ (первинна БД)
• вказати в «Угоді на обробку ПДН» те, що ви плануєте передавати ці дані до іншої країни та для яких конкретних цілей (чи писати конкретну країну в законі не вказано)

Відповідальність за використання переданих даних несе той Оператор, якому передано ці бази даних.

Надання віддаленого доступу до баз даних, що знаходяться на території РФ, з території іншої держави ФЗ-242 не забороняється.

На цьому все колеги. Хай прибуде з вами милість Еру!

Обробка персональних даних без згоди суб'єкта можливе лише у встановлених законом випадках. Використання таких відомостей з порушенням порядку або без відповідних підстав тягне за собою притягнення винних до цивільної, трудової, адміністративної та кримінальної відповідальності.

У яких випадках допускається передача третім особам та інше оброблення персональних відомостей про суб'єкта?

Закон «Про персональні дані» від 27.07.2006 № 152-ФЗ встановив 2 варіанти, за яких обробка особистих відомостей громадянина (суб'єкта) законна:

1. При отриманні його згоди.
2. Без отримання згоди у випадках:
   • використання інформації іншими людьми для особистих та сімейних потреб, якщо це не порушує права громадянина;
   • внесення персональної інформації до бази Архівного фонду Росії;
   • прийняття рішення про віднесення інформації до державної таємниці (у разі згоди суб'єкта не потрібно засекречування відомостей про нього);
   • необхідності використання відомостей для здійснення Росією умов міжнародних договорів і законів;
   • участі особи у процесі судочинства та у зв'язку з такою участю;
   • використання виконання судового акта чи положень документа, прийнятого органами виконавчого провадження;
   • отримання особою муніципальних чи державних послуг;
   • визнання людиною відомостей себе загальнодоступними;
   • укладання та виконання договору, в якому суб'єкт виступає стороною або вигодонабувачем;
   • неможливості отримання згоди при загрозі життю, здоров'ю, важливим інтересам особи;
   • реалізації прав, забезпечення інтересів оператора (яка обробляє інформацію особи) або третіх осіб, досягнення суспільно значущих цілей;
   • здійснення професійної діяльності журналістами та ЗМІ, творчої діяльності, коли це не порушує права людини;
   • використання знеособлених відомостей про особу в дослідницьких та статистичних цілях, за винятком політичної агітації, просування товарів, послуг та робіт на ринку;
   • необхідності обов'язкового розкриття, опублікування даних на підставі вказівки закону (наприклад, держслужбовці зобов'язані розкривати відомості про доходи).

Порядок обробки (зберігання, розповсюдження тощо) інформації без отримання схвалення суб'єкта

Загальна процедура обробки операторами особистих даних про громадян без їхнього спеціального дозволу виглядає наступним чином:

1. Оператор за наявності законних підстав отримує інформацію. Сповіщати особу про початок обробки його відомостей не потрібно, але в ряді випадків повідомлення надсилається до Роскомнагляду.
2. Оператор здійснює необхідні дії (збирає, записує, передає, уточнює тощо). Як зазначено у ст. 5 закону № 152-ФЗ, дії користувача обмежені метою опрацювання.
3. Після досягнення цілей або припинення необхідності використання дані знищуються або знеособлюються.

Додатковим етапом може стати заперечення фізичною особою правомірності використання інформації про неї. Органом розгляду спорів є (на вибір громадянина) суд або Роскомнагляд. У ході вирішення конфлікту оператором пред'являються докази наявності обставин, що дозволяють використовувати дані без схвалення або всупереч забороні громадянина.

Відповідальність оператора

У разі порушення оператором процедури та умов обробки персональної інформації він може бути притягнутий до різних видів відповідальності:

Вид відповідальності	Приклад порушення	Покарання	Правова основа
Громадянська	Заподіяння моральної шкоди	Виплата компенсації	Ст. 24 закону №152-ФЗ, ст. 1099 ЦК
Дисциплінарна	Розголошення персональних відомостей про іншого працівника	Звільнення
	Порушення законодавства щодо обробки інформації	Притягнення до дисциплінарної та матеріальної відповідальності
Адміністративна	Обробка відомостей, що суперечить меті збору даних	громадянам - 1000-3000 руб.; посадовим особам - 5000-10 000 руб.; організаціям - 30 000-50 000 руб.	ч. 1 ст. 13.11 КпАП
Кримінальна	Зазіхання на недоторканність приватного життя	Санкція альтернативна: штраф до 200 000 руб. обов'язкові роботи до 360 годин, виправні - до 1 року, примусові - до 2 років, позбавлення волі до 2 років та ін.	ч. 1 ст. 137 КК
	Відмова або обман з боку посадової особи при наданні громадянину інформації про неї	Штраф (200 000 руб. або дохід за термін до півтора року) або позбавлення права займатися певною діяльністю протягом 2-5 років
	Доступ до комп'ютерної інформації без права на це	Штраф (200 000 руб. або дохід за термін до півтора року), виправні роботи до року або примусові роботи, обмеження або позбавлення волі на строк до 2 років	ч. 1 ст. 272 КК

Таким чином обробка інформації без дозволу суб'єкта можлива, якщо оператору таке право надано законодавчо. Використання відомостей при цьому має здійснюватися тією мірою, яка потрібна для досягнення цілей оператора, після чого дані знищуються або знеособлюються. Особа, яка вважає, що його персональні дані використані незаконно, має право звернутися до суду або Роскомнагляду.

Чи не знаєте своїх прав?

Процес обробки персональних даних будь-якого громадянина прописаний у Федеральному Законі № 152-ФЗ "Про персональні дані". Спочатку цей закон був прийнятий 27 липня 2006 року, і вже надалі піддавався різним змінам та доповненням.

Закон "Про персональні дані" регулює відносини між державними, муніципальними органами, фізичними та юридичними особами у сфері обробки та захисту особистої інформації, які здійснюються за допомогою засобів автоматизації або без неї.

Ціль цього закону полягає у забезпеченні захисту свобод і прав громадян законними методами при обробці його особистих даних, у тому числі недоторканність приватного життя, сімейної та особистої таємниць.

Яка організація підпадає під вимоги Федерального закону «Про персональні дані»?

Будь-яка організація має можливість не регламентувати свої дії відповідно до глави 1 статті 2 Федерального закону за № 152-ФЗ «Про персональні дані», що стосуються обробки персональних даних, у таких випадках як:

1. Опрацювання персональних даних фізичними особами виключно для особистих та сімейних потреб, якщо при цьому не порушуються права суб'єктів персональних даних;
2. Організації зберігання, комплектування, обліку та використання документів Архівного фонду Російської Федерації та інших архівних документів, що містять персональні дані, відповідно до законодавства про архівну справу в Російській Федерації;
3. Опрацювання персональних даних, віднесених в установленому порядку до відомостей, що становлять державну таємницю;
4. Надання уповноваженими органами інформації про діяльність судів у Російській Федерації відповідно до Федерального закону від 22 грудня 2008 року N 262-ФЗ «Про забезпечення доступу до інформації про діяльність судів у Російській Федерації».

Коли ж організація не підпадає під вищевказані пункти, вона має обов'язково підпорядковуватися вимогам закону. Всі інші випадки, що стосуються збору, обробки та зберігання персональних даних, регламентуються відповідно до Федерального закону № 152 «Про персональні дані». Майже всі організації потрапляють під дані вимоги, оскільки майже всі компанії в той чи інший спосіб проводять обробку персональних даних своїх співробітників чи інших фізичних осіб. При цьому всі особисті дані мають бути суворо конфіденційними.

Для того щоб ризик претензій від власників персональних даних та державних органів був мінімальним, потрібно виконати комплекс робіт, які обґрунтовують необхідність обробки персональних даних. Також необхідно виконати вимоги забезпечення конфіденційності як при неавтоматизованій обробці, так і у разі обробки персональних даних в інформаційних системах.

Персональні дані – що це?

У розділі 1 статті 3 ФЗ «Про персональні дані» є визначення персональних даних:

— персональні дані — будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта персональних даних).

Це може бути прізвище, ім'я по батькові, адресу проживання та електронної пошти, контактні телефони, місце перебування, віросповідання, сімейний стан, фотографії, відомості про родичів та багато іншого. Кожна організація, яка має таку інформацію, зобов'язана захищати інформаційні системи, у яких мають зберігатися такі дані.

Збір, зберігання та обробка персональних даних

За необхідності отримання персональних даних співробітника чи іншої фізичної особи організація вправі збирати її у самого суб'єкта. Якщо ж інформацію можна отримати лише у третіх осіб, то суб'єкт повинен бути обов'язково повідомлено, а також зобов'язаний дати свою письмову згоду на цю процедуру. У свою чергу оператор зобов'язаний сповістити громадянина про цілі, які він переслідує при отриманні та обробці його особистих даних.

Все, що стосується законних підстав обробки персональної інформації, прописано у розділі 2 статті 6 пункті 1 № 152 Федерального закону «Про персональні дані»:

1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;
2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання, покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;
3) обробка персональних даних необхідна для здійснення правосуддя, виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавче провадження (далі - виконання судового акта);
4) обробка персональних даних необхідна для надання державної або муніципальної послуги відповідно до Федерального закону від 27 липня 2010 року N 210-ФЗ «Про організацію надання державних та муніципальних послуг», для забезпечення надання такої послуги, для реєстрації суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг;
5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;
6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;
7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;
8) обробка персональних даних необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності засобу масової інформації або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;
9) обробка персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;
10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);
11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

Якщо організація здійснює обробку персональних даних, що суперечить вищезазначеним пунктам, це є порушенням федерального законодавства.

Організація зобов'язана забезпечити конфіденційність наявних персональних даних відповідно до статті 7 Федерального закону «Про персональні дані». Винятки становлять ті випадки, коли персональні дані знеособлені або є загальнодоступними.
У статті 8 зазначено, що може бути загальнодоступні джерела персональних даних. Вони можуть містити прізвище, ім'я, по батькові, країну та рік народження, адресу проживання, номер телефону, інформацію про професію або інші персональні дані суб'єкта, які він надає за своєю письмовою згодою. До них належать, наприклад, довідники чи адресні книги. Ці відомості можуть бути позбавлені доступності за рішенням суб'єкта або державних уповноважених органів.

Принципи та умови обробки персональних даних

У процесі обробки персональних даних кожна організація повинна дотримуватися принципів, прописаних у розділі 2 статті 5 Федерального закону «Про персональні дані»:

1. Обробка персональних даних має здійснюватися на законній та справедливій основі.
2. Обробка персональних даних повинна обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних.
3. Не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою.
4. Обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки.
5. Зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Персональні дані, що обробляються, не повинні бути надмірними по відношенню до заявлених цілей їх обробки.
6. При обробці персональних даних повинні бути забезпечені точність персональних даних, їх достатність, а в необхідних випадках та актуальність щодо цілей обробки персональних даних. Оператор повинен вживати необхідних заходів або забезпечувати їх прийняття за видаленням або уточненням неповних або неточних даних.
7. Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних, не довше, ніж цього вимагають мети обробки персональних даних, якщо термін зберігання персональних даних не встановлений федеральним законом, договором, стороною якого, вигодонабувачем або поручителем, за яким є суб'єкт персональні дані. Оброблювані персональні дані підлягають знищенню чи знеособлення по досягненні цілей обробки чи разі втрати необхідності у досягненні цих цілей, якщо інше не передбачено федеральним законом.

Умови, яких має дотримуватися організація у процесі обробки персональних даних, прописані у статті 6 Федерального закону «Про персональні дані» і полягають у тому, що оператор при здійсненні обробки персональних даних суб'єкта має право обробляти їх тільки за його письмовою згодою.
Однак у деяких випадках така згода не потрібна. Так, наприклад, якщо обробка персональної інформації проводиться у різних наукових та статистичних цілях з обов'язковою умовою знеособлення персональних даних. Або коли обробка особистих даних необхідна для здоров'я, життя або інших життєво значущих інтересів суб'єкта таких даних.

Обов'язки оператора персональних даних

Глава 4 статті 18 Федерального закону за 3 152 "Про персональні дані" містить повну інформацію про те, що входить в обов'язки оператора з обробки даних.
Розглядаючи ключові моменти цієї статті закону, можна виділити кілька найважливіших принципів.

Оператор зобов'язаний:

- проводити обробку персональних даних відповідно до закону,
— мати дозвіл від власника персональних даних у випадках, передбачених законодавством,
- Забезпечувати конфіденційність,
— відповідати на всі запитання власника щодо його персональних даних у поставлений законом термін,
— знищити персональні дані після того, як буде досягнуто термінів їх обробки,
— сповіщати Управління Роскомнагляду на тему обробки персональних даних та про заходи, що їх вживають для їх захисту.

Також у цій статті йдеться про те, що якщо власник персональних даних відмовляється надати персональну інформацію, яку він зобов'язаний надати відповідно до федерального закону, оператор повинен роз'яснити власнику про наслідки такої відмови.

Самостійна діяльність організацій при захисті персональних даних

Збір, обробка та захист персональних даних в Російській Федерації є видом діяльності, що ліцензується. Розробка методик із захисту персональної інформації перебуває у віданні ФСБ Росії та ФСТЕК Росії.
Організація, своєю чергою, може лише зробити частину таких робіт. Наприклад, здійснити збирання інформації. Інші роботи вимагають ліцензії на діяльність з технічного захисту конфіденційної інформації, а також на встановлення засобів криптографічного захисту.

Перевірка діяльності з обробки персональних даних

Організація, яка проводить перевірку щодо законної обробки персональних даних, називається Федеральна служба з нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнагляд).
Роскомнагляд проводить державний контроль та нагляд за дотриманням вимог чинного законодавства у сфері:
- ЗМІ, ТВР мовлення та масових комунікацій - вимоги закону Російської Федерації за № 2124-1 від 27 грудня 1991 року "Про засоби масових комунікацій", а також дотримання ліцензійних умов,
- зв'язку - вимоги Федерального закону за № 126 від 7 липня 2003 року "Про зв'язок", а також підзаконних актів, у тому числі дія ліцензії та використання радіочастотного спектру,
- Персональних даних - Федеральний закон від 27 липня 2006 року за № 152 «Про персональні дані».

Правовим основою здійснення державного контролю та нагляду є Федеральний закон від 26 грудня 2008 року за № 294 «Про захист прав юридичних осіб та індивідуальних підприємців при здійсненні державного контролю (нагляду) та муніципального контролю».

Роскомнагляд проводить кілька видів перевірок:

1). Планова перевірка
Дана перевірка може бути проведена на підставі та в точно поставлені терміни, які зазначені у плані перевірок, підготовленого Роскомнаглядом та затвердженого прокуратурою. Відповідно до пункту 4 статті 27 Федерального закону «Про зв'язок» такий вид перевірки Роскомнагляд має право проводити не більше одного разу на 3 роки.
До Плану перевірок Роскомнагляду може потрапити будь-яка організація, що займається обробкою персональних даних.
Підставою для проведення планової перевірки вважається факт початку обробки оператором з обробки персональних даних, у тому числі проходження трьох років з моменту державної реєстрації як оператора персональних даних або завершення проведення планової перевірки щодо оператора через три роки з попередньої планової перевірки.

2). Позапланова перевірка.
Підставами щодо такого виду перевірки можна вважати:
— перевірка виконання припису про ліквідацію виявленого порушення, яке було видано раніше,
- Виявлення порушень обов'язкових вимог в результаті систематичного спостереження,
- вимога прокурора про проведення позапланової перевірки на підставі матеріалів і звернень, що надійшли в органи прокуратури від громадян, індивідуальних підприємців, юридичних осіб, органів державної та муніципальної влади,
- Порушення законних прав та інтересів суб'єктів Російської Федерації внаслідок бездіяльності операторів, що займаються обробкою персональних даних,
- Наказ керівника Служби, який виданий згідно з дорученням Президента Російської Федерації або Уряду Російської Федерації.
Перевірка проводиться в строк не більше 20 робочих днів, але в той же час у разі серйозних причин вона може бути продовжена на підставі наказу керівника Управління Роскомнагляду ще на 20 додаткових робочих днів.
Крім того, перевірочні заходи можуть проводитися одним з нижченаведених методів:
а) виїзні, т. е. перевірка відбувається за місцем перебування проверяемого.
б) документарні, письмовий запит оператора про надання необхідних документів та інформації. Якщо документи були надані, а надання їх має проводитися згідно із законом в обов'язковому порядку, це тягне у себе накладення штрафу. Якщо ж адміністративний штраф не було сплачено, його можна збільшити вдвічі.
в) систематичне спостереження, провадиться без взаємодії з особою, яку перевіряють, також від особи, що перевіряється, не вимагають жодних документів та інформації. Державні спеціалісти-інспектори територіального Управління Роскомнагляду роблять висновки про діяльність перевіряється, виходячи з його дії щодо невизначеного кола суб'єктів.

Відповідальність за незаконне опрацювання персональних даних

Оператор не повинен допускати збирання, зберігання, використання та розповсюдження інформації, що стосується особистого та сімейного життя, таємного листування, телеграфних, поштових чи інших повідомлень, телефонних переговорів, якщо на те немає судового рішення або законної підстави для цих дій.

Оператор не має права використовувати персональні дані з метою заподіяння моральної та майнової шкоди громадянам, а також утруднення реалізації їхніх свобод та прав. Понад те, оператор персональних даних немає права обмежувати права громадян Російської Федерації, використовуючи у своїй їх персональну інформацію, що стосується національної, расової, релігійної, мовної чи партійної приналежностей.
Фізичні та юридичні особи, які відповідно до своїх повноважень, мають будь-яку приватну інформацію про громадян, використовують її, порушуючи при цьому Федеральний закон «Про персональні дані» несуть відповідальність за дане діяння згідно з чинним законодавством Російської Федерації.

Ті особи, які своїми діями порушили Федеральний закон «Про персональні дані» несуть цивільну, адміністративну, дисциплінарну, кримінальну чи іншу відповідальність, передбачену чинним законодавством Російської Федерації.

Кодекс про Адміністративні Порушення (КоАП):

А) стаття 13.11 Порушення встановленого законом порядку збирання, зберігання, використання чи розповсюдження інформації про громадян (персональні дані). Ця стаття тягне за собою попередження або накладення адміністративного штрафу на:
- громадян у розмірі від 300-500 рублів,
- Посадових осіб у розмірі від 500-1000 рублів,
- юридичних осіб у розмірі від 5000-10000 рублів.

Б) Стаття 13.12 Порушення правил захисту інформації.
Згідно з цією статтею, адміністративний штраф покладається на порушників закону в розмірі від 500 до 30 тисяч рублів. Крім того, до юридичних осіб може бути застосовано конфіскацію або адміністративне призупинення діяльності строком на 3 місяці.
В) Стаття 13.14 Розголошення інформації з обмеженим доступом.
Відповідно до цієї статті можливе накладення адміністративного штрафу на:
- громадян у розмірі від 4 до 5 тисяч рублів.

Г) стаття 19.5 Невиконання у строк законного розпорядження (постанови, подання, рішення) органу (посадової особи), який здійснює державний нагляд (контроль).
Порушникам цієї статті загрожує адміністративний штраф у розмірі від 300 рублів до 500 тисяч рублів, або дискваліфікація терміном до 3 років.

Кримінальний кодекс (КК).

Стаття 137 Порушення недоторканності приватного життя.
У цій статті йдеться про те, що за незаконне збирання або розповсюдження інформації про приватне життя суб'єкта, яка є його сімейною або особистою таємницею, без його на те згоди або розповсюдження такої інформації за допомогою засобів масової інформації несе за собою відповідальність у вигляді
- штрафу розміром до 200 тисяч рублів або ж у розмірі, що дорівнює заробітній платі за 18 місяців,
- обов'язкових робіт строком до 360 годин
- Виправних робіт строком до 1 року,
- Примусових робіт строком до 2 років,
— заборони займатися певною діяльністю на строк до 3 років,
- Арешту строком до 2 років.

Трудовий кодекс (ТК).

Стаття 90 Відповідальність за порушення норм, що регулюють обробку та захист персональних даних працівника.
Ця стаття передбачає покарання у вигляді звільнення або можливості покарання відповідно до Кримінального кодексу Російської Федерації.

Вимоги до захисту персональних даних

Відповідно до статті 19 Федерального закону «Про персональні дані» вимоги захисту персональної інформації вважаються обов'язковими. Оператор при обробці персональних даних зобов'язаний вживати необхідних правових, організаційних та технічних заходів або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних.

Забезпечення безпеки персональних даних досягається, зокрема:

1) визначенням загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних;
2) застосуванням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних;
3) застосуванням процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;
4) оцінкою ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
5) врахуванням машинних носіїв персональних даних;
6) виявленням фактів несанкціонованого доступу до персональних даних та вжиття заходів;
7) відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
8) встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних.

З метою досягнення вищезазначених цілей, всі організації, які здійснюють обробку персональних даних, повинні дотримуватися таких вимог:

- Виконувати вимоги Федерального закону за № 152 «Про персональні дані», забезпечивши при цьому всі необхідні докази законності збору та обробки персональної інформації,
- Забезпечувати захист від несанкціонованого поширення персональних даних,
- розробляти нормативні локальні акти та технічну організаційну документацію, для забезпечення регламентованої обробки персональних даних,
— повідомляти Управління Роскомнагляду.

Для того, щоб виконувати ці вимоги, потрібно виконати наступні роботи:

1. Провести вивчення процесів збору та обробки персональної інформації в компанії. Зокрема, де, і як вони обробляються, де зберігаються, хто відповідає за це і має до них доступ, що за джерело персональних даних тощо. Необхідно зібрати повну інформацію про всі процеси, пов'язані з особистими даними.

2. Потрібно розробити пакет документів, що належать до процесу обробки персональних даних, а саме
А. Акт категорування,
Б. Концепція створення системи захисту персональних даних,
В. Модель загроз,
Г. Модель порушника,
Д. Технічне завдання на побудову системи захисту персональних даних,
Е. Технічний проект (пояснювальну записку технічного проекту) щодо побудови системи захисту персональних даних,
Ж. Організаційно-розпорядча документація.

Загалом кількість документів у середній організації становить близько 80 штук, у тому числі журнали обліку та накази.

3. Впровадити в організації технічні засоби захисту відповідно до розробленої документації.

4. Провести оцінку відповідності або атестацію інформаційних систем.

Атестація та оцінка є спеціальними встановленими документами, завдяки яким організація має можливість підтвердити те, що вона виконує всі вимоги чинного законодавства України.

Підставою для розробки затверджених документів операторів персональних даних є Федеральна служба з технічного та експортного контролю Російської Федерації (ФСТЕК) та Федеральна служба безпеки Російської Федерації (ФСБ), що прописано в їх нормативних методичних документах та наказах.

Одним із таких документів є:

Наказ Федеральної служби з технічного та експортного контролю (ФСТЭК Росії) від 5 лютого 2010 року за № 58 «Про затвердження Положення про методи та засоби захисту інформації в інформаційних системах персональних даних».

У цьому наказі для всіх організацій прописані такі методи та способи захисту персональних даних від несанкціонованого доступу, як,
— реалізація дозвільної системи допуску користувачів (обслуговуючого персоналу) до інформаційних ресурсів, інформаційної системи та пов'язаних із її використанням робіт, документів;
— обмеження доступу користувачів до приміщень, де розміщені технічні засоби, що дозволяють здійснювати обробку персональних даних, а також зберігаються носії інформації;
— розмежування доступу користувачів та обслуговуючого персоналу до інформаційних ресурсів, програмних засобів обробки (передачі) та захисту інформації;
- реєстрація дій користувачів та обслуговуючого персоналу, контроль несанкціонованого доступу та дій користувачів, обслуговуючого персоналу та сторонніх осіб;
- Облік та зберігання знімних носіїв інформації, та їх звернення, що виключає розкрадання, заміну та знищення;
- Резервування технічних засобів, дублювання масивів та носіїв інформації;
використання засобів захисту інформації, що пройшли в установленому порядку процедуру оцінки відповідності;
- Використання захищених каналів зв'язку;
— розміщення технічних засобів, що дозволяють здійснювати обробку персональних даних, у межах території, що охороняється;
- Організація фізичного захисту приміщень та власне технічних засобів, що дозволяють здійснювати обробку персональних даних;
- запобігання впровадженню в інформаційні системи шкідливих програм (програм-вірусів) та програмних закладок.

Основні методи та способи захисту даних від несанкціонованого доступу у разі взаємодії інформаційно-телекомунікаційних мереж міжнародного інформаційного обміну та інформаційних систем включають:

- міжмережеве екранування з метою управління доступом, фільтрації мережних пакетів та трансляції мережевих адрес для приховання структури інформаційної системи;
- Виявлення вторгнень в інформаційну систему, що порушують або створюють передумови до порушення встановлених вимог щодо забезпечення безпеки персональних даних;
- аналіз захищеності інформаційних систем, що передбачає застосування спеціалізованих програмних засобів (сканерів безпеки);
— захист інформації під час її передачі каналами зв'язку;
- використання смарт-карт, електронних замків та інших носіїв інформації для надійної ідентифікації та автентифікації користувачів;
- Використання засобів антивірусного захисту;
централізоване керування системою захисту персональних даних інформаційної системи;
- Фільтрування вхідних (вихідних) мережевих пакетів за правилами, заданими оператором (уповноваженою особою);
- періодичний аналіз безпеки встановлених міжмережевих екранів на основі імітації зовнішніх атак на інформаційні системи;
— активний аудит безпеки інформаційної системи щодо виявлення в режимі реального часу несанкціонованої мережевої активності;
- аналіз інформації, що приймається по інформаційно-телекомунікаційним мережам міжнародного інформаційного обміну (мережам зв'язку загального користування), у тому числі на наявність комп'ютерних вірусів;
- Використання атрибутів безпеки;
- Створення каналу зв'язку, що забезпечує захист інформації, що передається;
— здійснення аутентифікації взаємодіючих інформаційних систем та перевірка справжності користувачів та цілісності даних, що передаються.

До додаткових вимог для організацій включено:

- Створення каналу зв'язку, що забезпечує захист інформації, що передається;
— автентифікація взаємодіючих інформаційних систем та перевірка справжності користувачів та цілісності даних, що передаються;
- Забезпечення запобігання можливості заперечення користувачем факту відправлення персональних даних іншому користувачеві;
- Запобігання можливості заперечення користувачем факту отримання персональних даних від іншого користувача.

Теґи: ПДн 152-ФЗ

1. Обробка персональних даних повинна здійснюватися з дотриманням принципів та правил, передбачених цим Законом. Обробка персональних даних допускається у таких випадках:

1) обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;

2) обробка персональних даних необхідна для досягнення цілей, передбачених міжнародним договором Російської Федерації або законом, для здійснення та виконання покладених законодавством Російської Федерації на оператора функцій, повноважень та обов'язків;

3) обробка персональних даних здійснюється у зв'язку з участю особи у конституційному, цивільному, адміністративному, кримінальному судочинстві, судочинстві в арбітражних судах;

3.1) обробка персональних даних необхідна для виконання судового акта, акта іншого органу або посадової особи, що підлягають виконанню відповідно до законодавства Російської Федерації про виконавче провадження (далі - виконання судового акта);

4) обробка персональних даних необхідна для виконання повноважень федеральних органів виконавчої влади, органів державних позабюджетних фондів, виконавчих органів державної влади суб'єктів Російської Федерації, органів місцевого самоврядування та функцій організацій, що беруть участь у наданні відповідно державних та муніципальних послуг, передбачених Федеральним законом від 27 липня 2010 року N 210-ФЗ "Про організацію надання державних та муніципальних послуг", включаючи реєстрацію суб'єкта персональних даних на єдиному порталі державних та муніципальних послуг та (або) регіональних порталах державних та муніципальних послуг;

(див. текст у попередній редакції)

5) обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт персональних даних, а також для укладання договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;

(див. текст у попередній редакції)

6) обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних, якщо отримання згоди суб'єкта персональних даних неможливе;

7) обробка персональних даних необхідна для здійснення прав та законних інтересів оператора або третіх осіб, у тому числі у випадках, передбачених Федеральним законом "Про захист прав та законних інтересів фізичних осіб при здійсненні діяльності щодо повернення простроченої заборгованості та про внесення змін до Федерального закону" Про мікрофінансової діяльності та мікрофінансових організаціях", або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи суб'єкта персональних даних;

(див. текст у попередній редакції)

8) обробка персональних даних необхідна для здійснення професійної діяльності журналіста та (або) законної діяльності засобу масової інформації або наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;

9) обробка персональних даних здійснюється в статистичних або інших дослідницьких цілях, за винятком цілей, зазначених у статті 15 цього Закону, за умови обов'язкового знеособлення персональних даних;

10) здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними суб'єктом персональних даних);

11) здійснюється обробка персональних даних, що підлягають опублікуванню або обов'язковому розкриттю відповідно до федерального закону.

1.1. Обробка персональних даних об'єктів державної охорони та членів їх сімей здійснюється з урахуванням особливостей, передбачених Федеральним законом від 27 травня 1996 N 57-ФЗ "Про державну охорону".

2. Особливості обробки спеціальних категорій персональних даних, і навіть біометричних персональних даних встановлюються відповідно і цього Закону.

3. Оператор вправі доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі договору, що укладається з цією особою, в тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акта (далі - Доручення оператора). Особа, яка здійснює обробку персональних даних за дорученням оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачених цим Федеральним законом. У дорученні оператора повинні бути визначені перелік дій (операцій) з персональними даними, які будуть здійснюватися особою, що здійснює обробку персональних даних, та мети обробки, має бути встановлений обов'язок такої особи дотримуватися конфіденційності персональних даних та забезпечувати безпеку персональних даних при їх обробці, а також мають бути зазначені вимоги до захисту оброблюваних персональних даних відповідно до статті 19 цього Закону.

4. Особа, яка здійснює обробку персональних даних за дорученням оператора, не зобов'язана отримувати згоду суб'єкта персональних даних на обробку його персональних даних.

5. Якщо оператор доручає обробку персональних даних іншій особі, відповідальність перед суб'єктом персональних даних за дії зазначеної особи несе оператор. Особа, яка здійснює обробку персональних даних за дорученням оператора, відповідає перед оператором.

Рекомендуємо також

• Піонери-герої у великій вітчизняній війні Герої вітчизняної війни піонери презентація
• Презентація «Формування постави у дітей дошкільного віку Гігієна правильної постави презентація для дітей
• Науки про організм людини
• Презентація "історія та перспективи розвитку робототехніки"
• Значення боротьби русі з половцями
• Азія та африка після Другої світової війни