персональные данные это 152 фз краткое содержание

Описание страницы: как не утонуть в документах – ваш спасательный круг по 152-фз от профессионалов для людей.

В статье обсудим, какие документы должны быть у оператора персональных данных и какими требованиями обусловлено их наличие. Речь пойдет только о внутренних организационно-распорядительных документах (ОРД) по защите информации (152-ФЗ и приказ ФСТЭК № 17).

Кратко: чего требует закон № 152-ФЗ?

Согласно второй статьи 19 закона № 152-ФЗ «О персональных данных», чтобы обеспечить безопасность персональных данных, необходимо:

  • Определить угрозы безопасности.
  • Применить организационные и технические меры по обеспечению безопасности.
  • Применить средств защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
  • Оценить эффективность принимаемых мер по обеспечению безопасности персональных данных (до ввода в эксплуатацию информационной системы персональных данных).
  • Провести учет машинных носителей персональных данных.
  • Обнаружить факты несанкционированного доступа к персональным данным и принять меры.

Более подробно меры по обеспечению безопасности информации описаны в приказе ФСТЭК № 21 от 23 марта 2017 г., а также в методическом документе «Меры защиты информации в государственных информационных системах».

Перечень обязательных документов

  • Инструкция администратора информационной безопасности
  • Инструкция пользователей системы персональных данных
  • Инструкция осуществления антивирусного контроля в информационной системе персональных данных
  • Инструкция по организации парольной защиты персональных данных и перечне мероприятий по защите персональных данных
  • Приказ об утверждении мест хранения персональных данных и мест обработки ПД
  • Приказ о перечне лиц, допущенных к обработке персональных данных
  • Приказ о назначении лиц, ответственных за организацию обработки персональных данных
  • Приказ о назначении комиссии по уничтожению персональных данных
  • Приказ о вводе в действие системы персональных данных
  • Журнал учета носителей информации для системы персональных данных
  • Журнал учета мероприятий по контролю обеспечения защиты персональных данных
  • Журнал периодической проверки и тестирования средств защиты информации
  • Журнал учета обращений лиц — субъектов персональных данных о соблюдении их законных прав
  • Журнал учета средств защиты информации
  • Журнал проведения инструктажа по информационной безопасности
  • Правила обработки персональных данных без использования средств автоматизации
  • Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации
  • Положение о разграничении прав доступа к обрабатываемым персональным данным
  • Форма акта классификации информационной системы персональных данных
  • Форма акта уничтожения документов, содержащих персональные данные соглашение о неразглашении персональных данных
  • Положение об обработке и защите персональных данных
  • План мероприятий по обеспечению безопасности персональных данных
  • План внутренних проверок режима защиты персональных данных
  • Листы ознакомления с вышеуказанными документами с подписями лиц, которых данный документ касается.
Читайте так же:  устройство и принцип работы тиристора

Список немаленький, и его можно долго продолжать. Однако все не так страшно, как может показаться на первый взгляд. Вы можете обратиться за помощью в подготовке документации по 152-ФЗ в компанию «ГЭНДАЛЬФ».

Подготовим за вас все, что нужно по 152-ФЗ!

«ГЭНДАЛЬФ» предлагает вам услугу по разработке организационно-распорядительной документации с учетом специфики вашей организации. Кроме этого, у нас вы можете приобрести средства защиты информации, сертифицированные ФСТЭК.

Сэкономьте время для решения более приоритетных задач!

Что будет, если не выполнить требования?

Штраф за несоблюдение требований закона может составить до 75 000 руб. Рассмотрим, за что и в каком объеме штрафуют.

  • Не разместили на сайте политику конфиденциальности?

Физлица (в том числе индивидуальные предприниматели) могут быть привлечены к ответственности в виде штрафа в размере 10 000 руб., а организации — до 30 000 руб.

  • Обрабатываете личные данные без разрешения клиента?

Штраф на фирму составит до 75 000 руб.

Для физлица, директора организации или индивидуального предпринимателя — до 20 000 руб.

Новые правила обработки и распространения персональных данных с 1 марта 2021 года

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных?

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Читайте так же:  социально бытовая характеристика образец

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Читайте так же:  возврат ндс при возврате товара

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Читайте так же:  арест счетов в банке судебными приставами

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

персональные данные это 152 фз краткое содержание
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here