Политика конфиденциальности
1. Общие положения на обработку данных
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Подборка форм: Оформление согласия работников на обработку, передачу персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
(см. текст в предыдущей редакции)
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.Как оформить согласие на обработку персональных данных потребителя по договору услуг
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных. 5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. 6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.(часть 9 введена Федеральным законом от 30.12.2020 N 519-ФЗ)
2. Политика конфиденциальности
Политика конфиденциальности и пользовательское соглашение
Политика обработки персональных данных (далее – Политика или Политика конфиденциальности) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных у администратора сайта ИП Богданов Михаил Сергеевич (далее Оператор).
Целью настоящей политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3. Кто считается оператором персональных данных
Оператором персональных данных (ОПДн) может стать любой бизнес, у которого есть сотрудники, клиентская база или сайт, где собирают почты или номера телефона для регистрации в личном кабинете.
Обработкой персональных данных считаются любые действия с ними: сбор, запись, систематизация, хранение, уничтожение, передача третьим лицам или предоставление им доступа к базе. Собирать сведения можно на бумажных носителях, например, делать копию паспорта при приеме сотрудника на работу. Или через автоматизированную систему, которая записывает контакты пользователей сайта.
Что нельзя делать ОПДн по закону:
- Собирать ПДн физических лиц без определенной цели.
- Собирать личные данные с одной целью, а использовать с другой. Например, нельзя получать информацию по участникам кружка любителей вышивки для продажи расходных материалов, а потом использовать эти сведения, чтобы предлагать кредиты.
- Объединять разные базы, которые создавались для разных целей сбора персональных данных.Как стать ОПДн
4. Права субъектов персональных данных
Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.
Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:
1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Какие персональные данные может обрабатывать оператор
Оператор персональных данных — любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с персональными данными.
Примеры операторов:
-
работодатель, обрабатывающий персональные данные своих работников;
-
продавец, обрабатывающий персональные данные клиентов-граждан;
-
госорганы, обрабатывающие персональные данные граждан при предоставлении государственных услуг;
-
владельцы сайтов, собирающие персональные данные пользователей сайта.
Главное условие для обработки персональных данных — наличие вашего согласия. Оператор может обрабатывать персональные данные без согласия в следующих случаях:
-
в целях, предусмотренных международным договором России;
-
в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности;
-
в связи с вашим участием в суде;
-
для исполнения судебного акта;
-
в целях получения госуслуг;
-
для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем или поручителем.
6. Какие принципы обработки персональных данных
1. Общие положения на обработку данных
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Подборка форм: Оформление согласия работников на обработку, передачу персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
(в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
(см. текст в предыдущей редакции)
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Как оформить согласие на обработку персональных данных потребителя по договору услуг
4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
(часть 9 введена Федеральным законом от 30.12.2020 N 519-ФЗ)
2. Политика конфиденциальности
Политика конфиденциальности и пользовательское соглашение
Политика обработки персональных данных (далее – Политика или Политика конфиденциальности) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных у администратора сайта ИП Богданов Михаил Сергеевич (далее Оператор).
Целью настоящей политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3. Кто считается оператором персональных данных
Оператором персональных данных (ОПДн) может стать любой бизнес, у которого есть сотрудники, клиентская база или сайт, где собирают почты или номера телефона для регистрации в личном кабинете.
Обработкой персональных данных считаются любые действия с ними: сбор, запись, систематизация, хранение, уничтожение, передача третьим лицам или предоставление им доступа к базе. Собирать сведения можно на бумажных носителях, например, делать копию паспорта при приеме сотрудника на работу. Или через автоматизированную систему, которая записывает контакты пользователей сайта.
Что нельзя делать ОПДн по закону:
- Собирать ПДн физических лиц без определенной цели.
- Собирать личные данные с одной целью, а использовать с другой. Например, нельзя получать информацию по участникам кружка любителей вышивки для продажи расходных материалов, а потом использовать эти сведения, чтобы предлагать кредиты.
- Объединять разные базы, которые создавались для разных целей сбора персональных данных.Как стать ОПДн
4. Права субъектов персональных данных
Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.
Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:
1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. какие персональные данные может обрабатывать оператор
Оператор персональных данных — любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с персональными данными.
Примеры операторов:
-
работодатель, обрабатывающий персональные данные своих работников;
-
продавец, обрабатывающий персональные данные клиентов-граждан;
-
госорганы, обрабатывающие персональные данные граждан при предоставлении государственных услуг;
-
владельцы сайтов, собирающие персональные данные пользователей сайта.
Главное условие для обработки персональных данных — наличие вашего согласия. Оператор может обрабатывать персональные данные без согласия в следующих случаях:
-
в целях, предусмотренных международным договором России;
-
в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности;
-
в связи с вашим участием в суде;
-
для исполнения судебного акта;
-
в целях получения госуслуг;
-
для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем или поручителем.
6. Какие принципы обработки персональных данных
Статья 5. Принципы обработки персональных данных
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
Что такое целевая обработка персональных данных и как ее обеспечить
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. Какая цель преследуется при обработки персональных данных
Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:
- собирать;
- записывать;
- систематизировать;
- накапливать;
- хранить;
- уточнять;
- извлекать;
- применять;
- передавать;
- обезличивать;
- блокировать;
- удалять;
- уничтожать.
Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.
Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом.
Подписываемое соглашение должно содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Они должны быть четко и полноценно обозначены, прописаны в учредительных, уставных бумагах, положениях, разработанных в компании, а также фактически выполняться оператором.
8. Правовые основания обработки персональных данных
В качестве правового основания обработки этих данных могут быть указаны:
федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора
уставные документы оператора
договоры, заключаемые между оператором и субъектом персональных данных
согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора)
9. Условия обработки персональных данных
9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.2. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
10. Что такое персональные данные
Основной документ, регулирующий работу с персональными данными, ― ФЗ № 152-ФЗ «О персональных данных». Согласно ему, «персональные данные ― это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Это могут быть ФИО, email, телефон и т.д.
Полного перечня видов персональных данных нет, потому что обычно в расчет берут контекст. Например, в деле А40-139096/2022 Верховный суд РФ отказался признать адрес электронной почты и номер телефона персональными данными. Страховая компания собирала заявки на оформление полиса и запрашивала у пользователей только эту информацию. Роскомнадзор посчитал обработку персональных данных незаконной и подал иск.
Суд объяснил отказ удовлетворить запрос так: в этом случае нельзя определить конкретное лицо, к которому относится email и телефон. Пользователь может удалить почтовый ящик и расторгнуть договор с оператором связи ― тогда адрес почты и номер телефона перейдут другому человеку. Если бы при этом страховщики запрашивали у клиентов ФИО и можно было бы определить конкретное физическое лицо, указанная выше информация считалась бы персональными данными.
Чтобы понимать, какая информация кроме ФИО, электронной почты и телефона может считаться персональными данными, посмотрим на категории персональных данных. Они прописаны в Постановлении Правительства РФ № 1119.
– Специальные ― данные о национальности и расе, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
– Биометрические ― информация о биологических и физиологических особенностях человека, на основании которых можно установить личность (например, отпечатки пальцев).
– Общедоступные ― информация из справочников и адресных книг, на размещение которой пользователь дал письменное согласие. Примеры ― ФИО, год и место рождения и др. (ФЗ № 152, ст. 8).
– Иные. Персональные данные, которые не входят в первые три категории.
11. Обязанности оператора персональных данных
При сборе ПД закон обязывает оператора:
- разъяснить обладателю данных необходимость их предоставления, если она обусловлена законом, и последствия отказа от передачи информации;
- сообщить гражданину источник получения сведений и цель их обработки, если оператор получил ПД не от их собственника, а от третьего лица;
- хранить, обрабатывать и систематизировать данные на серверах, находящихся в России.
Выполнение требований обеспечивается нормами, указанными в ст. 18.1 закона «О персональных данных». Эта статья описывает меры организационного и технического характера, которые оператор обязан принять в соответствии с требованиями закона и подзаконных нормативных актов. Основные меры, обеспечивающие выполнение обязанностей, прописаны в законе, выбор остальных остается прерогативой оператора.
Среди мер, выполнение которых предписано законом:
- назначение приказом по организации лица, на которое возложена обязанность организовать обработку ПД в соответствии с требованиями закона;
- подготовка и утверждение оператором внутренних нормативных актов компании, освещающих ключевые вопросы обработки ПД;
- использование для защиты и обработки ПД комплекса организационных, программных и технических мер, предусмотренных ст. 19 закона «О персональных данных»;
- организация системы внутреннего контроля соответствия модели обработки ПД в компании требованиям закона и подзаконных нормативных актов;
- оценка ущерба, который мог бы быть причинен субъектам ПД, и выработка соразмерных способов защиты.
Отдельным требованием становится разработка политики обработки персональных данных, освещающей все основные аспекты работы с ними. Политика должна быть размещена на сайте оператора в свободном доступе для всех посетителей. Все указанные в законе документы должны предоставляться Роскомнадзору и ФСТЭК РФ при проведении проверки соблюдения требований нормативных актов.
12. Принятие мер безопасности
Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:
- Определение потенциальных угроз и разработка способов противодействия.
- Применение сертифицированных средств защиты информации.
- Оценка эффективности внедренных мер защиты.
- Учет материальных носителей ПДн.
- Регулярная проверка системы на отсутствие признаков взлома.
- Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
- Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.
13. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования. 2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом. 2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)
3. Утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ.(см. текст в предыдущей редакции)
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации - городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом "Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации".