Zakon o ličnim podacima 152 FZ Zadnji. Savezni zakon "o ličnim podacima": osnovne odredbe jednostavnim riječima. To se tiče vas ako

Za potrebe ovog saveznog zakona koriste se sljedeći osnovni pojmovi:

1) lični podaci - sve informacije koje se odnose na direktno ili indirektno definirane ili određene fizičkoj osobi (predmet ličnih podataka);

2) Operator je državno tijelo, općinsko tijelo, pravni ili pojedinac, nezavisno ili zajedno sa drugim osobama koje organizuju i (ili) obradu osobnih podataka, kao i određivanjem svrhe osobnih podataka, sastava ličnih podataka, Radnje (operacije) počinjene sa ličnim podacima;

3) Obrada ličnih podataka - bilo koja radnja (operacija) ili skup akcija (operacija) počinjeno korištenjem alata za automatizaciju ili bez korištenja ličnih podataka, uključujući prikupljanje, snimanje, sistematizaciju, akumulaciju, skladištenje, preradu (Ažuriranje, promjena), uklanjanje, upotreba , prijenos (distribucija, odredba, pristup), depersonalni, blokiranje, brisanje, uništavanje ličnih podataka;

4) automatizirana obrada ličnih podataka - obrada ličnih podataka pomoću računarske opreme;

5) širenje ličnih podataka - akcije usmjerene na otkrivanje ličnih podataka na neodređeni krug osoba;

6) pružanje ličnih podataka - akcije usmjerene na otkrivanje ličnih podataka određenoj osobi ili određenom krugu osoba;

7) blokiranje ličnih podataka - privremeni prekid obrade ličnih podataka (osim u slučajevima kada je liječenje potrebno za razjašnjenje ličnih podataka);

8) uništavanje ličnih podataka - akcija, kao rezultat toga što postaje nemoguće vratiti sadržaj ličnih podataka u informacionom sistemu ličnih podataka i (ili) kao rezultat kojih se resuiraju materijalni nosači;

9) iscrpljivanje ličnih podataka - akcije koje proizlaze iz kojeg postaje nemoguće bez upotrebe dodatnih informacija za utvrđivanje ličnih podataka iz određenog predmeta ličnih podataka;

10) informacioni sistem ličnih podataka - skup ličnih podataka sadržanih u bazama podataka i osiguravanje njihove obrade informacionih tehnologija i tehničkih sredstava;

11) Prekogranični prijenos ličnih podataka prenos ličnih podataka na teritoriju strane države od strane autoriteta strane države, stranog fizičkog lica ili stranog pravnog lica.

Član 4. Zakonodavstvo Ruske Federacije u oblasti ličnih podataka

1. Zakonodavstvo Ruske Federacije u oblasti ličnih podataka zasniva se na Ustavu Ruske Federacije i međunarodnih ugovora Ruske Federacije i sastoji se od ovog saveznog zakona i drugih slučajeva i karakteristike obrade ličnih podataka saveznih zakona .

2. Na osnovu ispunjavanja saveznih zakona, državnih tijela, banke Rusije, tijela lokalne uprave u okviru njihovog vlasti mogu poduzeti regulatorna pravna akata, regulatorna akti, zakona o određenim pitanjima koja se odnose na regulatorna akti) Obrada ličnih podataka. Takvi postupci ne mogu sadržavati odredbe koje ograničavaju prava konstitutivnih suvoda za lične podatke koji uspostavljaju ne predviđaju savezni zakoni ograničavaju aktivnosti operatera ili nametnute operaterima koje nisu predviđene saveznim zakonima. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

3. Karakteristike obrade osobnih podataka provedenih bez upotrebe alata za automatizaciju mogu se uspostaviti saveznim zakonima i drugim regulatornim zakonskim aktima Ruske Federacije, uzimajući u obzir odredbe ovog saveznog zakona.

4. Ako je međunarodni sporazum Ruske Federacije uspostavio druga pravila od onih predviđena ovim saveznim zakonom, primjenjuju se pravila međunarodnog ugovora.

Poglavlje 2. Principi i uslovi za obradu ličnih podataka

Član 5. Načela obrade ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Obrada ličnih podataka treba se provoditi na legitimnoj i pravičnoj osnovi.

2. Obrada ličnih podataka trebaju biti ograničena na postizanje specifičnih, unaprijed određenih i legitimnih svrha. Osobni podaci nisu dozvoljeni, nekompatibilni s svrhama prikupljanja ličnih podataka.

3. Ne postoji kombinacija baza podataka koja sadrže lične podatke, čija se obrada vrši u svrhu koja su nespojive.

4. Samo osobni podaci koji ispunjavaju ciljeve njihove obrade podliježu obradi.

5. Sadržaj i količina obrađenih ličnih podataka moraju biti u skladu s deklariranim ciljevima prerade. Obrađeni lični podaci ne bi trebali biti višak na proglašene ciljeve njihove prerade.

6. Pri obradu ličnih podataka treba osigurati tačnost ličnih podataka, njihova dovoljnost i u potrebnim slučajevima i relevantnošću u odnosu na ciljeve obrade osobnih podataka. Operator mora poduzeti potrebne mjere kako bi osigurao njihovo usvajanje za brisanje ili pojašnjenje nepotpunih ili netačnih podataka.

7. Skladištenje osobnih podataka treba izvesti u obrascu za određivanje predmeta ličnih podataka, ne duže od svrhe obrade osobnih podataka, ako saveznim zakonom ne uspostavljaju rok trajanja ličnih podataka, ugovorom, stranka čiji je korisnik ili garant koji su lični podaci. Obrađeni lični podaci treba uništiti ili izolirati za postizanje ciljeva obrade ili u slučaju gubitka potrebe za postizanjem ovih ciljeva, osim ako saveznim zakonom nije drugačije određeno.

Član 6. Uslovi za obradu ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Obrada ličnih podataka treba provesti u skladu sa principima i propisima predviđenim ovim saveznim zakonom. Obrada ličnih podataka dopuštena je u sljedećim slučajevima:

1) obradu osobnih podataka vrši se uz pristanku predmeta ličnih podataka o obradi svojih ličnih podataka;

2) obrada ličnih podataka neophodna je za postizanje ciljeva predviđenih međunarodnim sporazumom Ruske Federacije ili zakona, za provođenje i provođenje zakona Ruske Federacije na operatoru funkcija, ovlaštenja i odgovornosti;

3) obrada ličnih podataka vrši se u vezi sa sudjelovanjem osobe u ustavnom, civilnom, administrativnom, krivičnom postupku, pravnim postupcima na arbitražnim sudovima; (Izmijenjen saveznim zakon od 29. jula 2017. N 223-FZ)

3.1) Obrada ličnih podataka neophodna je za izvršenje sudskog zakona, čin drugog tijela ili službenika koji će se izvršiti u skladu sa zakonodavstvom Ruske Federacije o izvršnom postupku (u daljnjem tekstu - izvršenje sudskog akta); (Izmijenjen saveznim zakon od 29. jula 2017. N 223-FZ)

4) Obrada ličnih podataka potrebna je za izvršenje ovlasti saveznih izvršnih tijela, državnih vlasti ekstrabudžetskih fondova, izvršnih tijela država konstitutivnih subjekata Ruske Federacije, lokalne uprave i funkcije organizacija uključenih u pružanje Državne i komunalne usluge koje je zabilježio savezni zakon 27. jula 2010. godine u 210-FZ-u "o organizaciji pružanja državnih i opštinskih službi", uključujući registraciju predmeta osobnih podataka o jednom portalu države i opštinske službe i (ili) regionalne portale državnih i opštinskih službi; (Izmijenjen saveznim zakon od 04/05/2013 n 43-fz)

5) Obrada ličnih podataka potrebna je za izvršenje ugovora, stranke čije se stranka ili sa korisnikom ili garantom na kojoj je predmet ličnih podataka, kao i zaključiti sporazum o inicijativi predmeta lični podaci ili ugovor u kojem će lični podatkovni subjekt biti korisnik ili garant; (kao izmijenjeni saveznim zakonima od 21.12.2013. N 363-FZ, od 03.07.2016. N 231-FZ)

6) obrada ličnih podataka neophodna je za zaštitu života, zdravlja ili drugih vitalnih interesa predmeta ličnih podataka, ako primanje pristanka predmeta ličnih podataka nemoguće je;

7) Obrada ličnih podataka neophodna je za prava i legitimne interese operatera ili trećih strana, uključujući u slučajevima koje je odredio savezni zakon "o zaštiti prava i pravnih interesa pojedinca u primeni aktivnosti na povratku dospjelih dugova i izmenama saveznog zakona "o mikrofinansijskim aktivnostima i mikrofinansijskim organizacijama", ili za postizanje društvenih značajnih ciljeva, pod uslovom da se prava i slobode predmeta ličnih podataka ne povrede; (Izmijenjen saveznim zakon od 07.07.2016. N 231-FZ)

8) Obrada ličnih podataka potrebna je za provedbu profesionalnih aktivnosti novinara i (ili) legitimnih aktivnosti medija ili naučnih, književnih ili drugih kreativnih aktivnosti, pod uvjetom da su prava i legitimni interesi ličnog podataka entiteta nije prekršeno;

9) obrada ličnih podataka vrši se u statističkim ili drugim istraživačkim svrhama, osim ciljeva navedenih u ovom saveznom zakonu, podložne obaveznom iscrpljivanju ličnih podataka;

10) Provodi se obrada ličnih podataka, pristup neograničenom rasponu ljudi na koji se pružaju predmet osobnih podataka ili na njenom zahtjevu (u daljnjem tekstu - osobni podaci koje su dali javno dostupni predmet);

11) Provodi se obrada ličnih podataka za objavljivanje ili obavezno objavljivanje u skladu sa saveznim zakonom.

1.1. Obrada ličnih podataka državnih zaštitnih objekata i članova njihovih porodica vrši se uzimajući u obzir značajke koje pruža savezni zakon 27. maja 1996. n 57-FZ "o državnoj zaštiti". (Izmijenjen saveznim zakon od 01.07.2017. N 148-FZ)

3. Operator ima pravo povjerenju obrade ličnih podataka drugoj osobi uz saglasnost ličnog entiteta podataka, osim ako savezni zakon nije drugačije određeno, na osnovu ugovora sklopljenog s ovom osobom, uključujući državu ili općinu ugovor ili usvajanjem države ili općinskog organa relevantnog Zakona (u daljnjem tekstu - nalog operatera). Osoba koja vrši lične podatke o uputama operatera mora biti u skladu s principima i pravilima za obradu osobnih podataka predviđenih ovim saveznim zakonom. Na uputama operatera treba utvrditi listu akcija (operacija) s osobnim podacima, što će se počiniti obradom ličnih podataka, a ciljevi obrade treba uspostaviti dužnost takve osobe da slijedi povjerljivost Osobni podaci i osiguravaju sigurnost ličnih podataka prilikom obrade, kao i zahtjevi za zaštitu obrađenih ličnih podataka trebaju biti navedeni u skladu s ovim saveznim zakonom.

4. Osoba koja se bavi obradom osobnih podataka o uputama operatera nije potrebna za primanjem pristanka predmeta ličnih podataka o obradi svojih ličnih podataka.

5. U slučaju da operater upućuje obradu ličnih podataka drugoj osobi, operator nosi odgovornost na predmet ličnih podataka za postupke navedene osobe. Osoba koja vrši lične podatke o uputama operatera odgovorna je za operatera.

Član 7. Povjerljivost ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Operatori i druge osobe koje su primili pristup osobnim podacima dužne su ne otkriti treće strane i ne širiti lične podatke bez pristanka ličnog entiteta podataka, osim ako saveznim zakonom nije drugačije određeno. "

Član 8. Javni izvori ličnih podataka

1. Za potrebe sigurnosti informacija mogu se stvoriti javno dostupno izvori ličnih podataka (uključujući referentne knjige, adresne knjige). U javno dostupnim izvorima ličnih podataka s pismenim pristankom predmeta osobnih podataka, prezime, ime, patronim, mjesto rođenja, adresu, pretplatnički broj, podaci o zanimanju i drugim osobnim podacima mogu se prijaviti predmetnim podacima biti uključen. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

2. Informacije o predmetu ličnih podataka trebaju biti isključene u bilo kojem trenutku od javno dostupnih izvora ličnih podataka na zahtjev predmeta ličnih podataka ili odlukom suda ili drugih ovlaštenih državnih tijela. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Član 9. Saglasnost predmeta ličnih podataka o obradi svojih ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Predmet ličnih podataka odlučuje o pružanju svojih ličnih podataka i pristaje da ih slobodno obradi, po svojoj volji i u njenom interesu. Saglasnost za obradu ličnih podataka treba biti konkretan, informiran i svjestan. Saglasnost na obradu ličnih podataka može se dati predmetnim ličnim podacima ili njenim predstavnikom u bilo kojem što omogućuju potvrditi činjenicu njegove pripreme, osim ako saveznim zakonom nije drugačije određeno. U slučaju pribavljanja pristanka na obradu ličnih podataka od predstavnika predmeta ličnih podataka, ovlašćenje ovog predstavnika za sporazum o zemlji u ime osobnog entiteta provjerava operator.

2. Saglasnost na obradu ličnih podataka može se povući pod predmetom ličnih podataka. U slučaju prisjećenja osobnih podataka o obradi ličnih podataka, operater ima pravo na nastavak obrade osobnih podataka bez pristanka ličnog podatkovnog entiteta u prisustvu osnova navedenih u stavcima 1. člana 6., člankom 10. i član 11. i članak 11. ovog saveznog zakona.

3. Dužnost pružanja dokaza o dobijanju pristanka predmeta ličnih podataka za obradu svojih ličnih podataka ili dokaz o prisutnosti osnova navedenih u stavku 1. člana 6., člana 10. i člana 11. ovog saveznog zakona biti dodijeljen operateru.

4. U slučajevima predviđenim saveznim zakonom, obrada ličnih podataka vrši se samo uz pristanku u pisanom obliku tema ličnih podataka. Kao što je ekvivalentno osobnim osobljem predmeta ličnih podataka, pristankom u pisanom obliku priznato je kao sporazum u obliku elektronskog dokumenta potpisanog u skladu sa saveznim zakonom elektronskog potpisa. Saglasnost u pisanom obliku tema ličnih podataka o obradi njegovih ličnih podataka trebaju uključivati, posebno:

1) prezime, ime, patronim, adresa ličnog podatkovnog entiteta, broj glavnog dokumenta koji potvrđuje njegovu ličnost, informacije o datumu izdavanja navedenog dokumenta i izdaje ga autoritet;

2) ime, patronim, adresa predstavnika predmeta ličnog podataka, broj glavnog dokumenta koji potvrđuje njegovu ličnost, informacije o datumu izdavanja navedenog dokumenta i izdaju svoje ovlaštenja, detalje o punomoć ili Drugi dokument kojim se potvrđuje ovlasti ovog predstavnika (po primitku pristanka od predstavnika predmetnih ličnih podataka);

3) ime ili prezime, ime, patronim i adresu operatera koji primaju pristanku predmeta ličnih podataka;

4) svrha obrade ličnih podataka;

5) popis ličnih podataka, čija je obrada pristanka predmeta ličnih podataka;

6) ime ili prezime, ime, patronim i adresu osobe rukovanje osobnim podacima o uputama operatera ako je obrada dodijeljena takvoj osobi;

7) popis akcija sa ličnim podacima, čija je komisija saglasnost, dat je opći opis operatera metoda obrade osobnih podataka;

8) period tokom kojih je primenjivanje pristanka predmeta ličnih podataka, kao i metoda njegovog opoziva, osim ako saveznim zakonom nije drugačije utvrđen;

9) Potpis predmeta ličnih podataka.

5. Postupak pribavljanja elektroničkog pristanka dokumenta o predmetu osobnih podataka o obradi svojih ličnih podataka kako bi se osigurale državne i općinske usluge, kao i usluge koje su neophodne i obavezne za pružanje državnih i općinskih usluga, osnova vlada Ruske Federacije.

6. U slučaju nesposobnosti za predmet ličnih podataka, pristanak na obradu svojih ličnih podataka daje zakonskom zastupniku temu ličnih podataka.

7. U slučaju smrti predmeta ličnih podataka, saglasnost za obradu svojih ličnih podataka daje nasljednicima predmeta ličnih podataka, ako takav pristanak nije dat predmetnim podacima tokom njegovog života.

8. Osobni podaci mogu dobiti operator u ime osobe koja nije podložna osobnim podacima, pod uvjetom za potvrdu prisutnosti osnova navedenih u stavcima 1. člana 6., člankom 10. i člana 11. ovog Savezni zakon.

Član 10. Posebne kategorije ličnih podataka

1. Obrada posebnih kategorija ličnih podataka koji se odnose na rasnu, nacionalnu pripadnost, političku stavove, vjersku ili filozofsku vjerovanja, zdravstveni status, ne dopuštaju prilazni život, osim u slučajevima predviđenim u stavu 2. ovog člana.

2. Obrada navedena u stavku 1. ovog člana posebnih kategorija ličnih podataka dopuštena je u slučajevima gdje:

1) predmet ličnih podataka složio se pismenim putem na obradu svojih ličnih podataka;

2) lični podaci dali su javno dostupni predmet ličnih podataka; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

2.1) Obrada ličnih podataka potrebna je u vezi s primjenom međunarodnih ugovora Ruske Federacije o readmisiji; (Izmijenjen saveznim zakon od 25.11.2009 n 266-FZ)

2.2) Obrada ličnih podataka vrši se u skladu sa saveznim zakonom od 25. januara 2002. n 8-FZ "na all-ruski popis"; (Izmijenjen saveznim zakon 27. jula 2010. n 204-FZ)

2.3) Obrada ličnih podataka vrši se u skladu sa zakonodavstvom o državnoj socijalnoj pomoći, radnom zakonodavstvu, penzijskom zakonodavstvu Ruske Federacije; (Izmijenjeni saveznim zakonima 25.8.2011. N 261-FZ, od 07.21.2014 N 216-FZ)

3) obrada ličnih podataka potrebna je za zaštitu života, zdravlja ili drugih vitalnih interesa predmeta ličnih podataka ili život, zdravlje ili druge vitalne interese drugih osoba i dobijanje saglasnosti predmeta ličnih podataka nemoguće je; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

4) Obrada ličnih podataka vrše se u medicinskim i preventivnim svrhama, kako bi se uspostavila medicinska dijagnoza, pružanje medicinskih i medicinskih usluga, pod uslovom da obrada ličnih podataka provodi osoba koja se profesionalno bavi medicinskim aktivnostima i je dužan u skladu sa zakonodavstvom Ruske Federacije radi održavanja medicinske tajne;

5) Obrada ličnih podataka članova (sudionika) javnog udruženja ili vjerske organizacije vrši relevantno javno udruženje ili vjerska organizacija koja djeluje u skladu sa zakonodavstvom Ruske Federacije kako bi se postiglo legitimne ciljeve predviđene Sastavni dokumenti, pod uvjetom da se lični podaci neće distribuirati bez pristanka u pisanom obliku predmeta ličnih podataka;

6) obrada ličnih podataka potrebna je za uspostavljanje ili provođenje prava predmeta ličnih podataka ili trećih strana, kao i u vezi s primjenom pravde; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

7) Obrada ličnih podataka vrši se u skladu sa zakonodavstvom Ruske Federacije o odbrani, sigurnosti, o terorizmu, o sigurnosti saobraćaja, za borbu protiv korupcije, o izvršnom radu, o izvršnom radu Ruska Federacija; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

7.1) Obrada ličnih podataka dobivenih u Ruskoj Federaciji utvrđenoj zakonodavstvom provode tužilaštvo u vezi s provođenjem nadzora tužilaštva; (Izmijenjen saveznim zakon 23. jula 2013. n 205-FZ)

8) obrada ličnih podataka vrše se u skladu sa zakonodavstvom o obaveznim vrstama osiguranja, sa zakonodavstvom osiguranja; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

9) obrada ličnih podataka vrši se u slučajevima predviđenim zakonodavstvom Ruske Federacije, vladinih agencija, opštinskih organa ili organizacija u svrhu uređaja dece koji su ostali bez roditeljskog staranja, za odgajanje porodice građana; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

10) Obrada ličnih podataka vrši se u skladu sa zakonodavstvom Ruske Federacije o državljanstvu Ruske Federacije. (Izmijenjen saveznim zakon od 04.06.2014. N 142-FZ)

3. Obrada ličnih podataka o krivičnoj evidenciji mogu provesti vladine agencije ili općinske vlasti u okviru vlasti koje su ga pružile u skladu sa zakonodavstvom Ruske Federacije, kao i druge osobe u slučajevima i na način koji se određuju u skladu sa saveznim zakonima.

4. Obrada posebnih kategorija ličnih podataka provedenih u slučajevima koje su dostavili dijelovi 2 i 3 ovog člana treba odmah prekinuti ako su razlozi eliminirani, kao rezultat koji je obrada provedena ako u suprotnom nije izvedena ako u suprotnom nije utvrđena Savezni zakon. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Član 11. Biometrijski lični podaci (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Informacije koje karakteriziraju fiziološke i biološke karakteristike osobe, na osnovu kojih je moguće uspostaviti njegov identitet (biometrijski lični podaci) i koji operator koristi za identifikaciju ličnosti ličnih podataka, može se obraditi Samo ako postoji dogovor u pisanom obliku predmeta ličnih podataka, s predmetima izuzetaka predviđenim dijelom 2. ovog člana.

2. Obrada biometrijskih ličnih podataka može se provesti bez pristanka predmeta ličnih podataka u vezi s primjenom međunarodnih ugovora Ruske Federacije o readmisiji, u vezi s provođenjem pravosuđa i izvršenja pravosudnih akata, kao i u slučajevima predviđenim zakonodavstvom Ruske Federacije o odbrani, o sigurnosti, kontratopiranom terorizmu, transportnoj sigurnosti, o korupciji, o operativnim istražnim aktivnostima, javnom servisnom i izvršnom zakonodavstvu Ruske Federacije, zakonodavstvo Ruska Federacija o postupku odlaska iz Ruske Federacije i ulazak u Rusku Federaciju o državljanstvu Ruske Federacije. (Izmijenjen saveznim zakon od 04.06.2014. N 142-FZ)

Član 12. Prekogranični prenos ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Prekogranični prijenos ličnih podataka na teritoriji stranih zemalja koji su stranci Konvencije Vijeća Evrope o zaštiti pojedinaca uz automatiziranoj obradi ličnih podataka, kao i ostale strane zemlje koje osiguravaju adekvatnu zaštitu prava ličnih Entiteti podataka izvedeni su u skladu s ovim saveznim zakonom i mogu biti zabranjeni ili ograničeni na zaštitu temelja ustavnog sustava Ruske Federacije, morala, zdravstva, prava i legitimnih interesa građana, osiguravajući odbranu odbrane država i sigurnost države.

2. Ovlašteno tijelo za zaštitu prava ličnih podataka odobrava popis stranih zemalja koje nisu stranke u Konvenciji Vijeća Evrope o zaštiti pojedinaca uz automatiziranoj obradi ličnih podataka i osiguravajući odgovarajuću zaštitu prava ličnih podataka. Država koja nije stranka Konvencije Vijeća Evrope o zaštiti pojedinaca uz automatizirana obrada ličnih podataka može biti uključena u popis stranih zemalja koje osiguravaju odgovarajuću zaštitu prava ličnih podataka, pod uvjetom da poštuju poštivanje Odredbe ove Konvencije u skladu s relevantnim pravom i primijenjenim sigurnosnim mjerama ličnih podataka.

3. Operator je dužan osigurati da se strana država, teritorija od kojih se provodi prijenos ličnih podataka, osigurava odgovarajuća zaštita prava osobnih podataka osobnih podataka prije implementacije prekograničnog prijenosa ličnih podataka.

4. Prekogranični prijenos ličnih podataka na teritoriji stranih zemalja koji ne osiguravaju adekvatnu zaštitu prava ličnih podataka osobnih podataka može se izvesti u slučajevima:

1) dostupnost pristanka u pisanom obliku predmeta ličnih podataka o prekograničnom prijenosu njegovih ličnih podataka;

2) predviđeni međunarodnim ugovorima Ruske Federacije;

3) Da bi se saveznim zakonima predviđali, ako je potrebno, kako bi se zaštitili temelji ustavnog sistema Ruske Federacije, osiguravajući odbranu zemlje i sigurnosti države, kao i osiguranje sigurnosti održivog i sigurnog Funkcioniranje transportnog kompleksa, zaštitu interesa pojedinca, društva i države u oblasti transportnog kompleksa iz djela ilegalnih intervencija;

4) izvršenje ugovora, čija je stranka predmet ličnih podataka;

5) Zaštita života, zdravlja, drugih vitalnih interesa predmeta ličnih podataka ili drugih osoba sa nemogućom primanjem pristanka u pisanom obliku predmeta ličnih podataka.

Član 13. Karakteristike obrade ličnih podataka u državnim ili opštinskim informacionim sistemima ličnih podataka

1. Državna tijela, općinske vlasti stvaraju unutar svojih ovlaštenja utvrđenih u skladu sa saveznim zakonima, državnim ili opštinskim informacionim sistemima ličnih podataka.

2. Fokusni zakoni mogu se utvrditi značajkama računovodstva ličnih podataka u državnim i opštinskim informacionim sistemima ličnih podataka, uključujući upotrebu različitih načina za označavanje ličnih podataka sadržanih u relevantnom stanju ličnih podataka ili opštinskog informacionog sistema ličnih podataka, određenog ličnog Entitet podataka.

3. Prava i slobode osobe i građanina ne mogu se ograničiti na motive povezane sa korištenjem različitih načina obrade osobnih podataka ili oznake ličnih podataka koji su sadržani u državnim ili opštinskim informacionim sistemima ličnih podataka, određeni predmet ličnih podataka podaci. Upotreba vrijeđanja osjetila građana ili ponižavajući ljudsko dostojanstvo metoda imenovanja ličnih podataka sadržanih u državnim ili opštinskim informacionim sistemima ličnih podataka, određeni predmet ličnih podataka, nije dozvoljen.

4. Da bi se osigurala realizacija prava subjekata ličnih podataka u vezi sa obradom svojih osobnih podataka u državnim ili opštinskim informacionim sistemima ličnih podataka, može se stvoriti državni registar stanovništva, pravni status koji i postupak rada sa saveznim zakonom.

POGLAVLJE 3. PRAVA OSOBNOSTI PODATAKA

Član 14. Pravo na predmet ličnih podataka za pristup svojim ličnim podacima (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Glavni podatkovni subjekt ima pravo na primanje informacija navedenih u stavku 7. ovog člana, osim slučajeva predviđenih u stavku 8. ovog člana. Predmet ličnih podataka ima pravo na zahtjev operatera da pojasni svoje lične podatke, njihovo blokiranje ili uništenje ako su lični podaci nepotpuni, zastarjeli, netalno dobiveni ili nisu potrebni za proglašenu metu obrade, kao i da bi se proglasili njihova prava na zaštitu svojih prava.

2. Informacije navedene u dijelu 7 ovog članka treba da se osiguravaju predmetu osobnih podataka od strane operatera u pristupačnom obliku, a ne bi trebali sadržavati lične podatke koji se odnose na druge lične podatke, osim ako postoje zakonske osnove za Otkrivanje takvih ličnih podataka.

3. Podaci navedeni u stavku 7. ovog člana pružaju se predmetu ličnih podataka ili njenog predstavnika od strane operatera prilikom primjene ili nakon primitka zahtjeva za predmet ličnih podataka ili njenog predstavnika. Zahtjev mora sadržavati broj glavnog dokumenta koji potvrđuje identitet ličnog entiteta podataka ili njenog predstavnika, informacije o datumu izdavanja navedenog dokumenta i izdatom tijelu, koje potvrđuju sudjelovanje predmeta ličnih podataka u odnosima s operatorom (broj ugovora, datum ulaganja u ugovor, uvjet verbalne oznake i (ili) drugih podataka) ili informacija, u protivnom potvrđujući činjenicu o obradu osobnih podataka od strane operatera, potpisu predmeta ličnih podataka ili Njen zastupnik. Zahtjev se može poslati u obliku elektronskog dokumenta i potpisati elektronički potpis u skladu sa zakonodavstvom Ruske Federacije.

4. U slučaju da su podaci navedeni u stavku 7. ovog člana, kao i prerađenim ličnim podacima, pružene da se upoznaju sa temom ličnih podataka o njegovom zahtjevu, lični podatkovni subjekt ima pravo na operatoru ili ga pošaljite ponovnom zahtjevu za dobivanje informacija navedenih u dijelu 7 ovog članka, a upoznajte se sa takvim ličnim podacima, ne prije početkom od početnog cirkulacije ili smjera početnog zahtjeva, ako kraće razdoblje ne uspostavite Savezni zakon, usvojen u skladu s tim regulatornim pravnim aktom ili ugovorom, čija je stranka ili korisnik ili garant za koji je predmet ličnih podataka.

5. Osobni podaci ima pravo na operatora ili poslati opetovani zahtjev za dobivanje informacija navedenih u stavku 7. ovog člana, kao i upoznavanje s prerađenim ličnim podacima prije isteka u dijelu ovog članka , u slučaju ako su mu informacije i (ili) prerađeni lični podaci pruženi da se upoznaju u potpunosti u skladu s rezultatima ispitivanja početne cirkulacije. Zahtjev, zajedno sa podacima navedenim u dijelu 3 ovog člana, treba sadržavati pothvatni smjer upućivanja.

6. Operator ima pravo da odbije predmet ličnih podataka u obavljanju ponovnog upita koji ne odgovara uvjetima predviđenim dijelovima 4 i 5 ovog člana. Takvo odbijanje mora biti motivirano. Obaveza podnošenja dokaza o valjanosti neuspjeha u izvršavanju ponovnog zahtjeva leži na operatoru.

7. Lični podaci entitet ima pravo na primanje informacija koje se odnose na obradu svojih osobnih podataka, uključujući i sadrže:

1) potvrdu činjenice o obradi ličnih podataka od strane operatera;

2) pravne osnove i svrhe obrade ličnih podataka;

3) ciljevi i operator koji se koriste metodama obrade ličnih podataka;

4) ime i lokacija operatera, informacije o osobama (osim zaposlenih sa operatorom), koje imaju pristup ličnim podacima ili koji se mogu objaviti ličnim podacima na osnovu sporazuma s operatorom ili na osnovu Savezni zakon;

5) obrađeni lični podaci koji se odnose na odgovarajući predmet ličnih podataka, izvor njihove pripreme, osim ako takvim podacima ne predviđaju drugačije ne predviđaju saveznim zakonom;

6) vremenski period obrade ličnih podataka, uključujući istek njihovog skladištenja;

7) postupak obavljanja predmeta ličnih podataka o pravima predviđenim u ovom saveznom zakonu;

8) informacije o navodnom prekograničnom prijenosu podataka;

9) ime ili prezime, ime, patronim i adresu osobe koja se bavi ličnim podacima o uputama operatera ako je prerada povjerena ili će biti naplaćena za takvu osobu;

10) Ostale informacije predviđene u ovom saveznom zakonu ili drugim saveznim zakonima.

8. Pravo na predmet ličnih podataka o pristupu njenim osobnim podacima može biti ograničen u skladu sa saveznim zakonima, uključujući i ako:

1) obrađuju lične podatke, uključujući osobne podatke dobivene kao rezultat operativne pretrage, konzistencija i obavještajnih aktivnosti, provodi se u cilju odbrane zemlje, državne sigurnosti i provođenja zakona;

2) Obrada ličnih podataka provodi tijela koja su pobudila predmet ličnih podataka o sumnjoj da su počinili zločin ili dostavi predmet ličnih podataka krivično gonjenje krivičnog slučaja ili se primijeni na predmet ličnih podataka u mjeri od suzdržanog tužilaštva, osim ruske Federacije predviđene za zakonodavstvo o krivičnom postupku ako upoznate osumnjičenog ili optuženi sa takvim ličnim podacima;

3) obrada ličnih podataka vrši se u skladu sa zakonodavstvom o suzbijanju legalizacije (pranja) prihoda dobivenog krivičnom i finansiranjem terorizma;

4) pristup predmetu ličnih podataka na njegove lične podatke krši prava i legitimne interese trećih strana;

5) Obrada ličnih podataka vrši se u slučajevima predviđenim zakonodavstvom Ruske Federacije o sigurnosti saobraćaja, kako bi se osiguralo održivo i siguran rad transportnog kompleksa, zaštitu interesa pojedinca, društva i države U oblasti transportnog kompleksa iz djela ilegalne intervencije.

Član 15. Prava ličnih podataka o obradi njihovih ličnih podataka u cilju promocije robe, radova, usluga na tržištu, kao i za političku agitaciju

1. Obrada ličnih podataka u cilju promocije robe, radova, usluga na tržištu vršeći izravne kontakte sa potencijalnim potrošačem uz pomoć komunikacijskih alata, kao i za potrebe političkih agitacija samo pod uvjetom preliminarnog pristanka Osobni podaci. Ova obrada ličnih podataka prepoznata je kao bez prethodnog pristanka predmeta ličnih podataka, ako operater ne dokaže da je dobijena takva saglasnost.

2. Operator je dužan odmah prekinuti na zahtjev predmeta osobnih podataka koji obrađuju njegove lične podatke navedene u stavku 1. ovog člana.

Član 16. Prava ličnih podataka o donošenju odluka na osnovu isključivo automatizirane obrade svojih ličnih podataka

1. Zabranjeno je usvojiti na osnovu isključivo automatizirane obrade ličnih podataka rješenja koja stvaraju pravne implikacije u vezi s predmetom osobnih podataka ili na drugi način utječe na njena prava i legitimne interese, osim slučajeva predviđenih od stava 2. ovog Članak.

2. Odluka koja stvara pravne posljedice u vezi s predmetom osobnih podataka ili na drugi način utječe na njena prava i legitimni interesi mogu se izvršiti na temelju isključivo automatizirane obrade svojih ličnih podataka samo ako postoji dogovor u pisanom obliku predmeta Osobni podaci ili u slučajevima koje su osigurali savezni zakoni. Uspostavljanje mjera za osiguranje poštivanja prava i legitimnih interesa predmeta ličnih podataka.

3. Operator je dužan pojasniti predmet ličnih podataka postupak za donošenje odluke na osnovu isključivo automatizirane obrade svojih ličnih podataka i mogućim pravnim posljedicama takve odluke, kako bi pružili priliku da se priloži prigovor na takvu Odluka, kao i pojašnjavanje postupka zaštite predmeta ličnih podataka i legitimnih interesa.

4. Operator je dužan razmotriti prigovor naveden u 3. dijelu ovog člana trideset dana od dana primitka i obavijestiti predmet ličnih podataka o rezultatima razmatranja takvog prigovora. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Član 17. Pravo na žalbene akcije ili operatora neaktivnosti

1. Ako se predmet osobnih podataka smatra da operator obrađuje svoje lične podatke s kršenjem zahtjeva ovog saveznog zakona ili na drugi način krši njegova prava i slobode, predmet ličnih podataka ima pravo na žalbu na djelovanje u odnosu na akcije ili neaktivnost operatera Ovlaštenom telu za zaštitu prava ličnih podataka ili suđenja.

2. Predmet ličnih podataka ima pravo na zaštitu svojih prava i legitimnih interesa, uključujući štetu i (ili) naknadu za moralnu štetu na sudu.

Poglavlje 4. Odgovornosti operatora

Član 18. Obaveze operatera prilikom prikupljanja ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Prilikom prikupljanja ličnih podataka, operater je dužan pružiti predmet ličnih podataka po njegovim informacijama o zahtjevu predviđenim članom 14. ovog saveznog zakona.

2. Ako je odredba ličnih podataka obavezna u skladu sa saveznim zakonom, operater je dužan razjasniti predmet ličnih podataka. Pravne implikacije odbijanja za pružanje njegovih ličnih podataka.

3. Ako se lični podaci primiju ne iz predmeta osobnih podataka, operatera, osim slučajeva predviđenih dijelom 4. ovog člana, prije nego što je obrada takvih ličnih podataka dužna osigurati predmet osobnih podataka sljedećim informacijama :

1) ime ili prezime, ime, patronim i operater ili njegov predstavnik;

2) svrha obrade osobnih podataka i njegove pravne osnove;

3) planirani korisnici ličnih podataka;

4) pravo na predmet ličnih podataka utvrđenih ovim saveznim zakonom;

5) izvor ličnih podataka.

4. Operator je oslobođen obveze pružanja predmeta podataka o ličnim podacima predviđenim dijelom 3 ovog člana u slučajevima gdje:

1) Predmet ličnih podataka je obaviješten o provedbi njegovih ličnih podataka nadležnom operateru;

2) osobni podaci pribavio je operater na temelju saveznog zakona ili u vezi s izvršenjem ugovora, čiju stranku ili sa korisnikom ili garantom za koji je lični podaci;

3) lični podaci dali su javno dostupni predmet osobnih podataka ili dobiveni iz javnog izvora;

4) rukovanje osobnim podacima za statističke ili druge istraživačke ciljeve, za obavljanje profesionalnih aktivnosti novinara ili naučnih, književnih ili drugih kreativnih aktivnosti, ako se ne povrede prava i legitimni interesi predmeta ličnih podataka;

5) Omogućavanje predmeta ličnih podataka o informacijama predviđenim po delu 3 ovog člana krši prava i legitimne interese trećih strana.

5. Prilikom prikupljanja ličnih podataka, uključujući internetsku informacijsku i telekomunikacijsku mrežu, operater je dužan pružiti snimanje, sistematizaciju, akumulaciju, skladištenje, profinjenost (ažuriranje, promjene), vađenje ličnih podataka građana Ruske Federacije koristeći baze podataka Teritoriji Ruske Federacije, s izuzetkom slučajeva navedenih u stavcima ,, iz člana 6. ovog saveznog zakona. (Izmijenjen saveznim zakon od 21. jula 2014. n 242-FZ)

Član 18.1. Mjere usmjerene na osiguravanje ispunjenja operatera dužnosti predviđenim ovim saveznim zakonom (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Operator je dužan poduzeti potrebne mjere i dovoljne za osiguranje ispunjavanja dužnosti koje je predviđalo ovaj savezni zakon i usvojen u skladu s IT regulatornim zakonima. Operator neovisno određuje sastav i popis potrebnih mjera i dovoljne za osiguranje ispunjavanja dužnosti koje su utvrdili ovaj savezni zakon i usvojeni u skladu s tim regulatornim pravnim aktima, osim ako se ovaj savezni zakon drugačije ne predviđaju. Ove mjere se posebno mogu odnositi:

1) imenovanje operatera, koji je pravni subjekt odgovoran za organizovanje obrade ličnih podataka;

2) Izdanje operatera, koji je pravni subjekt, koji određuju politiku operatera u vezi sa obradom ličnih podataka, lokalnih akata o obradi ličnih podataka, kao i lokalni postupci koji su usmjereni na sprečavanje i identifikaciju kršenja Zakonodavstvo Ruske Federacije, eliminirajući posljedice takvih kršenja;

3) primjena pravnih, organizacijskih i tehničkih mjera za osiguranje sigurnosti ličnih podataka u skladu s ovim saveznim zakonom;

4) provedba interne kontrole i (ili) revizije poštivanja obrade ličnih podataka na ovaj savezni zakon i usvojen u skladu s IT regulatornim zakonskim aktima, zahtjevima za zaštitu ličnih podataka, politiku operatera u preradi lični podaci, lokalni akti operatera;

5) Procjena štete koja može biti uzrokovana subjektima ličnih podataka u slučaju kršenja ovog saveznog zakona, omjer navedene štete i mjera koje je operator koji je cilj osigurao predviđene obaveze za ovaj savezni zakon;

6) Upoznavanje zaposlenih u operatera, direktno obavljajući obradu ličnih podataka, sa odredbama zakonodavstva Ruske Federacije o ličnim podacima, uključujući zahteve za zaštitu ličnih podataka, dokumenata koji određuju politiku operatera u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka u pogledu obrade ličnih podataka, Lokalni akti o obradi ličnih podataka i (ili) učenje ovih zaposlenika.

2. Operator je dužan objaviti ili na drugi način osigurati neograničen pristup dokumentu koji definira svoju obradu politike, informacije o zahtjevima za zaštitu ličnih podataka. Operator prikuplja lične podatke koristeći informacije i telekomunikacijske mreže dužan je objaviti u relevantnim podacima i telekomunikacijskom mrežom dokumentom koji definira svoju ličnu politiku obrade podataka i informacije o zahtjevima za zaštitu ličnih podataka, kao i pružanje mogućnosti za pristup navedenom dokumentu. Koristeći relevantne informacije i telekomunikacijske mreže.

3. Vlada Ruske Federacije uspostavlja listu mjera usmjerenih na osiguravanje ispunjavanja obaveza koje je predviđalo ovaj savezni zakon i usvojeni u skladu s tim regulatornim pravnim aktima, operateri koji su državne ili općinske vlasti.

4. Operator je dužan dostaviti dokumente i lokalne akte navedene u 1. dijelu ovog člana, a (ili) inače potvrditi usvajanje mjera navedenih u stavku 1. ovog člana, na zahtjev ovlaštenog tijela da zaštiti prava lični podaci.

Član 19. Mjere za osiguranje sigurnosti ličnih podataka kada se obrađuju (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Operator u obradi ličnih podataka dužan je poduzeti potrebne pravne, organizacijske i tehničke mjere ili osigurati njihovo usvajanje radi zaštite ličnih podataka od nezakonitih ili slučajnog pristupa, uništavanja, promjena, blokiranja, kopiranja, pružanja i distribucije ličnih podataka, takođe kao i druge nezakonite radnje za lične podatke.

2. Osiguravanje postizanja sigurnosti ličnih podataka, posebno:

1) određivanjem prijetnji sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka;

2) upotreba organizacionih i tehničkih mjera za osiguranje sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka potrebnih za ispunjavanje zahtjeva za zaštitu ličnih podataka, izvršenje ličnih podataka koje je utvrdila Vlada Ruska Federacija;

3) korišćenje postupka za procjenu sukladnosti alata za zaštitu informacija na propisani način;

4) procjena učinkovitosti mjera poduzeti kako bi se osigurala sigurnost ličnih podataka prije puštanja u rad ličnih podataka o podacima;

5) uzimajući u obzir prevoznike mašina o ličnim podacima;

6) otkrivanje činjenica neovlaštenog pristupa osobnim podacima i usvajanju mjera;

7) vraćanje osobnih podataka izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;

8) Uspostavljanje pravila pristupa osobnim podacima obrađenim u informacionom sistemu osobnog podataka, kao i osiguranje registracije i računovodstva svih radnji počinjenih ličnim podacima u informacionom sistemu ličnih podataka;

9) Kontrola nad sigurnosnim mjerama poduzete za osiguranje sigurnosti ličnih podataka i nivo sigurnosti informacionih sistema ličnih podataka.

3. Vlada Ruske Federacije, uzimajući u obzir moguću štetu temi ličnih podataka, volumenom i sadržaju obrađenih ličnih podataka, vrsti aktivnosti, u provedbi koje se obrađuju lični podaci, relevantnost prijetnji Na sigurnost ličnih podataka uspostavlja:

1) nivoi sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka, ovisno o prijetnji sigurnosti ovih podataka;

2) zahtjeve za zaštitu ličnih podataka prilikom obrade u informacionim sistemima ličnih podataka, čije izvršenje osigurava utvrđenu razinu sigurnosti ličnih podataka;

3) Zahtjevi za nosioce materijala Biometrijski lični podaci i tehnologije skladištenja takvih podataka izvan informacionih sistema ličnih podataka.

4. Sastav i sadržaj zahtjeva koje je utvrdila Vlada koju je osnovala Vlada Ruske Federacije u skladu sa 3. dijelom ovog članka za zaštitu ličnih podataka za svaki od nivoa sigurnosti, organizacijskih i tehničkih mjera za osiguranje Sigurnost ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka uspostavlja savezno tijelo. Izvršni organ ovlašten u oblasti sigurnosti i savezne izvršne vlasti ovlaštene u području suzbijanja tehničke istrage i tehničke zaštite informacija unutar svojih ovlasti.

5. Federalna izvršna tijela koja obavljaju funkcije državne politike i regulatorne regulacije u uspostavljenoj oblasti aktivnosti, državne vlasti konstitutivnih subjekata Ruske Federacije, banke Rusije, tijela državnih vanbračnih sredstava, ostale vladine agencije U okviru svojih ovlaštenja poduzimaju regulatorna pravna akti, u kojima se sigurnosne prijetnje utvrđuju sigurnošću ličnih podataka, relevantnim u preradi ličnih podataka u informacionim sistemima ličnih podataka koji djeluju u primjeni relevantnih aktivnosti, uzimajući u obzir u obzir Sadržaj ličnih podataka, prirode i metode njihove prerade.

6. Uz prijetnje sigurnosti ličnih podataka definiranih u regulatornim pravnim aktima usvojenim u skladu sa dijelom 5. ovog člana, udruženja, saveza i drugim objedinjavanjem operatora sa njihovim odlukama, to ima pravo utvrditi dodatne prijetnje osobnim Sigurnost podataka, temska prilikom obrade osobnih podataka u podacima o ličnim podacima koji su u provedbi određenih vrsta aktivnosti od strane članova takvih udruženja, sindikata i drugih udruženja operatora, uzimajući u obzir sadržaj osobnih podataka, prirodu i metode njihovih Obrada.

7. Projekti regulatornih pravnih akata navedenih u dijelu 5. ovog člana trebaju biti koordinirani sa saveznim izvršnim tijelom ovlaštenim u oblasti sigurnosti, te savezne izvršne vlasti ovlaštene u području suzbijanja tehničkog istraživanja i tehničke zaštite informacija. Nacrti odluka navedenih u dijelu 6. ovog člana koordiniraju se sa saveznim izvršnim tijelom ovlaštenim u oblasti sigurnosti i savezne izvršne vlasti ovlaštene u području suzbijanja tehničke istraživanja i tehničke zaštite informacija, na način koji je propisao Vlada Ruske Federacije. Odluka Federalnog izvršnog tijela ovlaštena u oblasti sigurnosti, te saveznog izvršnog tijela ovlaštenog u oblasti suzbijanja tehničke istraživanja i tehničke zaštite informacija, treba motivirati odbijanje koordinacije nacrta odluka u stavu 6. ovog člana, treba motivirati .

8. Kontrola i nadzor organizacionih i tehničkih mjera za osiguranje sigurnosti ličnih podataka utvrđenih u skladu s ovim člankom, u obradi ličnih podataka u državnim informacijskim sustavima ličnih podataka obavlja savezni izvršni vlast ovlašteni u oblasti Sigurnost i savezna uprava izvršne vlasti ovlaštena u oblasti suzbijanja tehničke istraživanja i tehničke zaštite informacija, u okviru svojih ovlaštenja i bez prava na upoznavanje sa ličnim podacima.

9. Federalno izvršno tijelo ovlašteno u oblasti sigurnosti i savezne izvršne vlasti ovlaštene u oblasti suzbijanja tehničke istraživanja i tehničke zaštite informacija, odluku Vlade Ruske Federacije, uzimajući u obzir značaj i sadržaj Obrađeni lični podaci mogu se obdati ovlastima nadgledati organizacijske i tehničke mjere implementacije kako bi se osigurala sigurnost osobnih podataka utvrđenih u skladu s ovim člankom, kada se obrađuju u informacionim sistemima ličnih podataka koji djeluju u provedbi određenih vrsta aktivnosti i nisu državni informacioni sistemi za lične podatke, bez prava na upoznavanje s osobnim podacima obrađenim u informacionim sistemima ličnih podataka.

10. Upotreba i skladištenje biometrijskih podataka izvan informacionih sistema osobnih podataka mogu se izvesti samo na takvim nosačima informacija i korištenje takve tehnologije skladištenja koja osigurava zaštitu tih podataka od nezakonitim ili slučajnim pristupom njima, njihovo uništenje , promjene, blokiranje, kopiranje njih, pružajući, distribuciju.

11. Za potrebe ovog članka, pod prijetnjama sigurnosti ličnih podataka, kombinacija uvjeta i faktora koji stvaraju opasnost od neovlaštenog, uključujući nasumičnu, pristup osobnim podacima, koji mogu biti rezultat uništavanja, promjena, blokiranja, Kopiranje, pružanje, distribuiranje ličnih podataka, kao i drugih nezakonitih radnji kada se obrađuju u informacionom sistemu ličnih podataka. Pod nivoom sigurnosti ličnih podataka shvaća se kao sveobuhvatni pokazatelj koji karakterizira zahtjeve čiji se osigurava neutralizaciju određenih prijetnji sigurnosti ličnih podataka prilikom obrade u informacionim sistemima ličnih podataka.

Odgovornosti operatera prilikom kontaktiranja predmeta ličnih podataka ili po prijemu zahtjeva za predmet ličnih podataka ili njenog predstavnika, kao i ovlašteno tijelo za zaštitu prava predmeta ličnih podataka (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Operator je dužan da se prijavi na način predviđen u ovom saveznom zakonu, predmet ličnih podataka ili njegovih reprezentativnih podataka o dostupnosti ličnih podataka koji se odnose na relevantan predmet ličnih podataka, kao i pružaju mogućnost upoznavanja sa ovim osobnim podacima kada kontaktiraju predmet ličnih podataka ili njenog predstavnika ili u roku od trideset dana od dana prijema zahtjeva za predmet ličnih podataka ili njenog predstavnika.

2. U slučaju odbijanja za pružanje informacija o dostupnosti ličnih podataka o relevantnoj temi ličnih podataka ili ličnih podataka, temu ličnih podataka ili njenog predstavnika prema njihovoj žalbi ili nakon primitka zahtjeva za predmet ličnih podataka ili Njen zastupnik, operater je dužan dati motivirani odgovor u pisanom obliku koji sadrži vezu do članka 14. ovog saveznog zakona ili drugog saveznog zakona, što je osnova za takvo odbijanje, u periodu koji ne prelazi trideset dana od datuma privlačnosti predmet ličnih podataka ili njenog predstavnika ili od datuma prijema zahtjeva za temu ličnih podataka ili njenog predstavnika.

3. Operator je dužan pružiti besplatno predmetu ličnih podataka ili njegovog predstavnika priliku da se upozna sa ličnim podacima koji pripadaju ovom temu ličnih podataka. U razdoblju koji ne prelazi sedam radnih dana od dana tema ličnih podataka ili njen predstavnik informacija koji potvrđuju da su lični podaci nepotpuni, netačni ili nebitni, operater je dužan izvršiti potrebne promjene u njima. U razdoblju koji ne prelazi sedam radnih dana od dana tema ličnih podataka ili njen predstavnik informacija koje potvrđuju da se takvi lični podaci ilegalno dobivaju ili nisu potrebni za proglašeni cilj liječenja, obvezan je uništiti takve osobne podatke. Operator je dužan obavijestiti predmet ličnih podataka ili njenog predstavnika o izvršenim promjenama i poduzete mjere i poduzimaju razumne mjere za obavještavanje trećih strana da su lični podaci ove teme preneseni.

4. Operator je dužan obavijestiti ovlašteno tijelo da zaštiti prava predmeta osobnih podataka o zahtjevu ovog tijela potrebne informacije u roku od trideset dana od dana primitka takvog zahtjeva.

Član 21. Operatorske dužnosti za uklanjanje kršenja zakonodavstva dozvoljene su u obradi ličnih podataka, da pojasni, blokiraju i uništavaju lične podatke (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. U slučaju otkrivanja nezakonitim obradom ličnih podataka prilikom dodavanja predmeta ličnih podataka ili njenog predstavnika ili na zahtjev predmeta ličnih podataka ili njenog predstavnika ili ovlaštenog tijela za zaštitu prava ličnih podataka osobnih podataka, Operator je dužan blokirati nezakonito obrađene lične podatke koji se odnose na ovaj predmet ličnih podataka ili osigurati da su blokirani (ako obrada ličnih podataka provodi druga osoba koja djeluje na uputstvu operatera) od trenutka Takva žalba ili primanje navedenog upita za period verifikacije. Ako se netačni lični podaci otkrije prilikom kontaktiranja predmeta osobnih podataka ili njenog predstavnika ili na zahtjev ili na zahtjev ovlaštenog tijela da zaštiti prava ličnih podataka, operater je dužan blokirati lične podatke koji se odnose na ovaj predmet ličnih podaci ili kako bi se osiguralo njihovo blokiranje (ako obrada ličnih podataka provodi druga osoba koja djeluje na uputstva operatera) od trenutka takve žalbe ili primitka određenog zahtjeva za period verifikacije, ako blokira lične podatke ne krši prava i legitimne interese predmeta ličnih podataka ili trećih strana.

2. U slučaju potvrde o činjenici netočnosti ličnih podataka, operatera na temelju informacija koje su podneseni predmet osobnih podataka ili njenog predstavnika ili ovlaštenog tijela za zaštitu prava predmeta ličnih podataka, ili druge potrebne dokumente dužne su razjasniti lične podatke ili im pružanje pojašnjenja (ako se osobna obrada podataka provodi drugima koja djeluje u ime operatera) u roku od sedam radnih dana od dana podnošenja takvih informacija i ublaživanje blokiranja lični podaci.

4. U slučaju postizanja obrade osobnih podataka, operater je dužan raskinuti obradu ličnih podataka ili osigurati njen prekid (ako obrada osobnih podataka provodi druga osoba koja djeluje na uputstva operatera) i uništava osobno podaci ili da bi se osiguralo njihovo uništenje (ako lična obrada podataka provodi druga osoba, djelujući u ime operatera) u razdoblju koji ne prelazi trideset dana od dana postizanja svrhe obrade osobnih podataka, osim ako ugovorom nije drugačije određeno obrađivanje podataka , stranka čiji je korisnik, čiji je garant predmet ličnih podataka, drugi ugovor između operatera i tema ličnih podataka ili ako operator nema pravo na obradu ličnih podataka bez pristanka ličnog entiteta podataka na osnova predviđena ovim saveznim zakonom ili drugim saveznim zakonima.

5. U slučaju prisjećanja predmeta osobnog pristanka podataka za obradu njegovih ličnih podataka, operater je dužan raskinuti njihovu obradu ili osigurati da se takva obrada zaustavi (ako obrada ličnih podataka obavlja druga osoba koja djeluje na Upute operatera) i u slučaju da održavanje ličnih podataka više nije potrebno za obradu ličnih podataka, uništiti lične podatke ili osigurati njihovo uništenje (ako obrada ličnih podataka provodi druga osoba koja djeluje na uputstva Operator) u roku koji ne prelazi trideset dana od dana prijema određenog opoziva, osim ako ugovorom nije drugačije određeno, čiji je korisnik ili jamac koji je predmet osobnih podataka, drugi ugovor između operatera i predmeta ličnih podataka ili ako operater nema pravo da obrađuje lične podatke bez pristanka predmeta ličnih podataka o osnovama koje pruža ova savezna savezna M zakon ili drugi savezni zakoni.

6. U nedostatku sposobnosti uništavanja osobnih podataka u okviru razdoblja navedenog u dijelovima od 3 - 5 ovog člana, operater blokira takve osobne podatke ili osigurava da su blokirani (ako obrada ličnih podataka provodi drugi Osoba koja djeluje na uputstva operatera) i osigurava uništavanje ličnih podataka na vrijeme ne više od šest mjeseci, osim ako savezni zakoni ne uspostavljaju druge periode.

Član 22. Obavijest o obradi ličnih podataka

1. Operator prije početka obrade osobnih podataka dužan je obavijestiti ovlašteno tijelo za zaštitu prava subjekata ličnih podataka o svojoj namjeri da obrade lične podatke, osim slučajeva predviđenih u stavku 2 od Ovaj članak.

2. Operator ima pravo da implementira bez obaveštavanja ovlaštenog tela da zaštiti prava ličnih podataka u obradu ličnih podataka:

1) obrađeno u skladu sa radno zakonodavstvom; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

2) Primljeni od strane operatera u vezi s zaključicom ugovora čija je strana predmet ličnih podataka, ako se lični podaci ne primjenjuju i ne dostavljaju trećim stranama bez pristanka osobnog entiteta podataka i su operater koristi isključivo za izvršenje navedenog ugovora i zaključuje sporazume sa temom ličnih podataka;

3) pozivajući se na članove (učesnike) javnog udruženja ili vjerskog organizacije i prerade relevantno javno udruženje ili vjerska organizacija koja djeluje u skladu sa zakonodavstvom Ruske Federacije kako bi se postigli legitimni ciljevi predviđeni od strane njihovih sastavnih dokumenata, pod uvjetom da su lični podaci neće se distribuirati ili otkriti trećim stranama bez pristanka u pisanom obliku ispitanika ličnih podataka; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

4) napravljen pod predmetnim ličnim podacima sa javno dostupnim; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

5) uključujući samo prezimena, imena i patronim subjekata ličnih podataka;

6) neophodno za potrebe jednokratnog prolaza predmeta ličnih podataka na teritoriju na kojoj je operator ili u drugim sličnim svrhama;

7) Uključeno u informacione sisteme ličnih podataka koji imaju u skladu sa saveznim zakonima status državnih automatiziranih informacionih sistema, kao i u državnim informacijskim sistemima ličnih podataka, stvorenih u cilju zaštite sigurnosti države i javnog reda ; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

8) Obrađeno bez upotrebe alata za automatizaciju u skladu sa saveznim zakonima ili drugim regulatornim pravnim aktima Ruske Federacije, koji uspostavljaju zahtjeve za osiguravanje sigurnosti ličnih podataka kada se obrađuju i da se pridržavaju prava subjekata ličnih podataka.

9) Obrađeno u slučajevima predviđenim zakonodavstvom Ruske Federacije o sigurnosti saobraćaja, kako bi se osiguralo održivo i siguran rad transportnog kompleksa, zaštitu interesa pojedinca, društva i države u oblasti transportnog kompleksa iz djela ilegalne intervencije. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

3. Obavijest predviđena iz stava 1. ovog člana šalje se u obliku dokumenta na papiru ili u obliku elektronskog dokumenta i potpisuje ovlaštena osoba. Obavijest mora sadržavati sljedeće podatke: (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1) ime (prezime, ime, patronim), adresa operatera;

2) svrha obrade ličnih podataka;

5) pravna osnova za obradu ličnih podataka;

6) lista akcija sa ličnim podacima, opći opis metoda obrade osobnih podataka koje koristi operator; informacije o prisutnosti ili zbog nepostojanja prekograničnog prenosa ličnih podataka tokom njihove prerade; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

10.1) Informacije o lokaciji baze podataka o informacijama koje sadrže lične podatke građana Ruske Federacije; (Izmijenjen saveznim zakon od 21. jula 2014. n 242-FZ)

11) Informacije o osiguravanju sigurnosti ličnih podataka u skladu sa zahtjevima za zaštitu ličnih podataka koje je utvrdila Vlada Ruske Federacije. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

4. Ovlašteno tijelo za zaštitu prava ličnih podataka u roku od trideset dana od dana primitka obavijesti o obradi osobnih podataka daje informacije navedene u stavku 3. ovog člana, kao i informacije o smjeru navedene obavijesti Registar operatora. Informacije sadržane u registru operatora, osim informacija o sigurnosti ličnih podataka kako bi se osigurala njihova obrada, javno su dostupne.

5. Operator se ne može nametnuti troškovima razmatranja obavijesti o obradi ličnih podataka od strane ovlaštenog tijela za zaštitu prava ličnih podataka, kao i u vezi s uvođenjem informacija u registar operatora .

6. U slučaju pružanja nepotpunih ili lažnih informacija navedenih u 3. dijelu ovog članka, ovlašteno tijelo za zaštitu prava ličnih podataka entiteta ima pravo na zahtjev od strane operatera kako bi se pojasnile informacije koje su pružene prije nego što su podnesen registru operatora.

7. U slučaju promjene podataka navedenih u stavku 3. ovog člana, kao i u slučaju prestanka obrade ličnih podataka, operator je dužan obavijestiti ovlašteno tijelo za zaštitu prava subjekata Osobni podaci u roku od deset radnih dana od datuma pojave takvih promjena ili datuma prekida obrade osobnih podataka. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Član 22.1. Osoba odgovorna za organizovanje obrade ličnih podataka u organizacijama (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

1. Operator, koji je pravno lice, imenuje osobu odgovornu za organiziranje ličnih obrade podataka.

2. Osoba odgovorna za organiziranje obrade ličnih podataka prima upute izravno iz izvršnog tijela organizacije, koja je operator, i lako.

3. Operator je dužan osigurati osobu odgovornu za organiziranje obrade ličnih podataka, informacije navedene u članku 22. ovog saveznog zakona.

4. Osoba odgovorna za organizovanje obrade ličnih podataka, posebno je dužna:

1) obavljati unutrašnju kontrolu nad poštovanjem od strane operatera i njegovih zaposlenih u zakonodavstvu Ruske Federacije o ličnim podacima, uključujući zahtjeve za zaštitu ličnih podataka;

2) privući pažnju zaposlenika operatera o zakonodavstvu Ruske Federacije o osobnim podacima, lokalnim aktima o obradi ličnih podataka, zahtjevima za zaštitu ličnih podataka;

3) Organizirajte prijem i obradu žalbi i zahtjeva za predmete ličnih podataka ili njihovih predstavnika i (ili) za kontrolu prijema i obrade takvih žalbi i zahtjeva.

Poglavlje 5. Državna kontrola i nadzor obrade ličnih podataka. Odgovornost za kršenje zahtjeva ovog saveznog zakona (Izmijenjen saveznim zakon od 22.02.2017. N 16-FZ)

Član 23. Poverenik za zaštitu predmeta ličnih podataka

1. Ovlašteno tijelo za zaštitu prava ličnih podataka je federalno izvršno tijelo koje vrši funkcije za kontrolu i nadgledanje usklađenosti obrade ličnih podataka sa zahtjevima zakona o zakonodavstvu Ruske Federacije u području ličnih podaci. (Izmijenjen saveznim zakon od 22.02.2017. N 16-FZ)

1.1. Ovlašteno tijelo za zaštitu prava ličnih podataka osigurava, organizuje i provodi državnu kontrolu i nadzor nad poštivanjem obrade ličnih podataka sa zahtjevima ovog saveznog zakona i regulatornim pravnim aktima usvojenim u skladu s njim (državna kontrola i nadzor obrade ličnih podataka). Postupak organiziranja i provođenja revizija pravnih subjekata i pojedinih poduzetnika koji su operatori ovlašteni od tijela za zaštitu prava ličnih podataka entiteta, kao i postupak organiziranja i provođenja državne kontrole i nadzora o obradi osobnih podataka od strane drugih Osobe koje su operatore osnovana Vlada Ruske Federacije. (Izmijenjen saveznim zakon od 22.02.2017. N 16-FZ)

2. Ovlašteno tijelo za zaštitu prava poslovnih subjekata ličnih podataka razmatra žalbu predmeta ličnih podataka o usklađenosti sa sadržajem ličnih podataka i njihovim metodama obrade za svoje obrambene ciljeve i donosi odgovarajuću odluku.

3. Ovlašteno tijelo za zaštitu prava subjekata ličnih podataka ima pravo:

1) zahtev pojedinaca ili pravnih lica Informacije neophodne za primenu svojih ovlasti i slobodno primanje takvih podataka;

2) da provjeri informacije sadržane u obavijesti o obradi ličnih podataka ili privući druge državne organe za obavljanje takve inspekcije u okviru svojih ovlasti;

3) zahtijevaju od operatera da razjasni, blokira ili uništi nepouzdane ili ilegalno pribavljene lične podatke;

3.1) Ograničiti pristup informacijama obrađenim sa kršenjem zakonodavstva Ruske Federacije u oblasti ličnih podataka, na način propisan zakonodavstvom Ruske Federacije; (Izmijenjen saveznim zakon od 21. jula 2014. n 242-FZ)

4) usvojiti u skladu s postupkom utvrđenim zakonodavstvom Ruske Federacije da obustavi ili raskinu obradu ličnih podataka provedenih u kršenju zahtjeva ovog saveznog zakona;

5) kontaktirajte Sud sa tvrdnjama o zaštiti prava ličnih podataka, uključujući zaštitu prava neodređene distribucije osoba i zastupaju interese ličnih podataka o sudu na sudu; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

5.1) Poslati saveznom izvršnom tijelu ovlaštenom u oblasti sigurnosti, te savezne izvršne vlasti ovlaštene u području suzbijanja tehničke istraživanja i tehničke zaštite informacija, u odnosu na sferu svojih aktivnosti, informacije navedene u stavku 3 član 22. ovog saveznog zakona; (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

6) Pošaljite aplikaciju da licencira aktivnosti operatera da razmotri mere za obustavanje akcije ili otkazivanja relevantne dozvole u postupku utvrđenom zakonodavstvom Ruske Federacije, ako je licenca za takve aktivnosti zabrana prenosa osobnih podataka trećim stranama bez pristanka pisanog oblika predmeta ličnih podataka;

7) poslati organima tužilaštva, drugim agencijama za provođenje zakona kako bi se riješili pitanje pokretanja krivičnih slučajeva o znakovima zločina koji se odnose na kršenje prava ličnih podataka, u skladu s podređenim;

8) da doprinese Vladi prijedloga Ruske Federacije za poboljšanje regulatornog pravnog propisa o zaštiti prava ličnih podataka;

9) privući administrativnu odgovornost osoba krivi krivi za kršenje ovog saveznog zakona.

4. S obzirom na lične podatke koji su postali poznato ovlašteno tijelo za zaštitu prava ličnih podataka tijekom svojih aktivnosti, moraju se osigurati lični podaci.

5. Ovlašteno tijelo za zaštitu prava predmeta osobnih podataka dužna je:

1) organizovati u skladu sa zahtevima ovog saveznog zakona i drugim saveznim zakonima zaštitu prava ličnih podataka;

2) razmatraju žalbe i žalbe građana ili pravnih lica o pitanjima koja se odnose na obradu ličnih podataka, kao i za preuzimanje rešenja u okviru svojih ovlaštenja o rezultatima razmatranja ovih žalbi i žalbi;

3) zadrži registar operatora;

4) provoditi mjere usmjerene na poboljšanje zaštite prava ličnih podataka;

5) u skladu sa postupkom utvrđenim zakonodavstvom Ruske Federacije o podnošenju Federalnog izvršnog tijela ovlaštenog u oblasti sigurnosti, savezni izvršni vlast u oblasti zaštite državne zaštite ili savezne izvršne vlasti ovlaštene u Polje suzbijanja tehničke istraživanja i tehničke zaštite informacija, mjere za obustavu ili prestanak obrade ličnih podataka; (Izmijenjen saveznim zakon od 01.07.2017. N 148-FZ)

6) informirati vladine agencije, kao i predmete osobnih podataka o svojim žalbama ili zahtjevima o statusu zaštite prava ličnih podataka;

7) obavljaju druge obaveze predviđene zakonodavstvom Ruske Federacije.

5.1. Ovlašteno tijelo za zaštitu prava osobnih podataka surađuje sa vlastima ovlaštenim za zaštitu prava subjekata ličnih podataka u stranim zemljama, posebno međunarodnu razmjenu informacija o zaštiti prava osobnih podataka, Odobrivanje popisa stranih zemalja koja osiguravaju adekvatnu zaštitu prava ličnih podataka. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

6. Odluke Poverenika za zaštitu prava subjekata ličnih podataka mogu se žaliti na sudu.

7. Ovlašteno tijelo za zaštitu prava osobnih podataka godišnje godišnje šalje izvještaj o svojim aktivnostima predsjedniku Ruske Federacije, Vladi Ruske Federacije i Savezne skupštine Ruske Federacije. Ovaj izvještaj bit će objavljen u medijima.

8. Finansiranje ovlaštenog tijela za zaštitu prava subjekata ličnih podataka vrši se na štetu saveznog budžeta.

9. Sa ovlaštenim tijelom za zaštitu prava predmeta ličnih podataka, Savjetodavno vijeće, postupak formiranja i postupka za aktivnosti utvrđuju ovlašteno tijelo za zaštitu prava na konstitutivnost ličnih podataka.

Član 24. Odgovornost za kršenje zahtjeva ovog saveznog zakona

1. Osobe krivi za kršenje zahtjeva ovog saveznog zakona odgovorni su kako je predviđeno zakonodavstvom Ruske Federacije. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

2. Moralna šteta nanesena tema ličnih podataka kao rezultat kršenja svojih prava, kršenja pravila o obradi osobnih podataka utvrđenih ovim saveznim zakonom, kao i zahtjevi za zaštitu ličnih podataka utvrđenih u skladu s tim Savezni zakon, nadoknađuje se u skladu sa zakonodavstvom Ruske Federacije. Naknada nematerijalne štete vrši se bez obzira na naknadu štete imovine i nastali gubitke ličnih podataka. (Izmijenjen saveznim zakon od 25. jula 2011. godine br. 261-FZ)

Poglavlje 6. Završne odredbe

Član 25. Završne odredbe

1. Ovaj savezni zakon stupa na snagu na snagu stotina i osamdeset dana nakon dana službene publikacije.

2. Nakon dana stupanja na snagu ovog saveznog zakona, obrada ličnih podataka uključenih u informacione sisteme ličnih podataka na snagu provode se u skladu s ovim saveznim zakonom.

2.1. Operatori koji su izvršili obradu ličnih podataka do 1. jula 2011. dužni su podnijeti ovlaštenom tijelu da zaštiti prava ličnih podataka, informacije navedene u stavcima,

5. Odnosi u vezi sa obradom ličnih podataka koje provode vladine agencije, pravne osobe, pojedinci u pružanju državnih i općinskih službi, izvršenje državnih i općinskih funkcija u predmetu Ruske Federacije - Grad savezne značajke Moskve regulirani su ovim saveznim zakonom, osim ako se drugačije ne dostavi saveznim zakonom "o osobinama uređivanja određenih pravnih odnosa u vezi s pristupanjem predmetu Ruske Federacije - grad savezne važnosti u Moskvijskih akata i o izmjeni pojedinačnih zakonodavnih akata Ruska Federacija. " (Izmijenjen saveznim zakon od 04/05/2013 n 43-fz)

Predsednik Ruske Federacije
V.putin

Moskva Kremlj

2. Saglasnost na obradu ličnih podataka može se povući pod predmetom ličnih podataka. Ako se preispita predmet ličnih podataka, operater ima pravo na nastavak obrade osobnih podataka bez pristanka ličnog podatkovnog entiteta u prisustvu osnova navedenih u stavcima 2. - 11. dijela 1. člana 6, stav 2 člana 10 i Deo 2 člana 11. ovog saveznog zakona.

3. Odgovornost za pružanje dokaza o dobijanju pristanka predmeta ličnih podataka o obradi svojih osobnih podataka ili dokaz o prisutnosti osnova navedenih u stavcima 2 - 11 dijela 1. člana 6. stava 2. člana 10 i Dio 2 člana 11. ovog saveznog zakona, dodijeljen operateru.

1) prezime, ime, patronim, adresa ličnog podatkovnog entiteta, broj glavnog dokumenta koji potvrđuje njegovu ličnost, informacije o datumu izdavanja navedenog dokumenta i izdaje ga autoritet;

3) ime ili prezime, ime, patronim i adresu operatera koji primaju pristanku predmeta ličnih podataka;

4) svrha obrade ličnih podataka;

5) popis ličnih podataka, čija je obrada pristanka predmeta ličnih podataka;

6) ime ili prezime, ime, patronim i adresu osobe rukovanje osobnim podacima o uputama operatera ako je obrada dodijeljena takvoj osobi;

7) popis akcija sa ličnim podacima, čija je komisija saglasnost, dat je opći opis operatera metoda obrade osobnih podataka;

8) period tokom kojih je primenjivanje pristanka predmeta ličnih podataka, kao i metoda njegovog opoziva, osim ako saveznim zakonom nije drugačije utvrđen;

9) Potpis predmeta ličnih podataka.

6. U slučaju nesposobnosti za predmet ličnih podataka, pristanak na obradu svojih ličnih podataka daje zakonskom zastupniku temu ličnih podataka.

8. Osobni podaci mogu dobiti operator u ime osobe koja ne podliježe osobnim podacima, pod uvjetom za potvrdu prisutnošću osnova navedenih u stavcima 2 - 11 dijela 1 člana 6, dio 2 člana 10. i deo 2 člana 11. ovog saveznog zakona.

U ovom smo članku razumljivi i dostupni (dobro, ako je moguće) pokušat ćemo objasniti kako živjeti uobičajeno online poslovanje u epohi FZ N 152 "o ličnim podacima". Preciznije ćemo reći kako ga braniti.

Dakle, prvo treba imati na umu da su ime, telefon, pošta, adresa i drugi podaci koji karakterišu određenu osobu lični. I primitak njih, čak i kao rezultat telefonskog razgovora, je njihov obrada. Dakle, pod novim divnim zakonom aktivnost apsolutno bilo koje komercijalne web stranice pada. Ura, drugovi.

Šta se bojati?

Od 1. jula 2017. u članku 13.11, administrativni zakonik Ruske Federacije pojavio se novi kompozicioni kršenja zakonodavstva u oblasti ličnih podataka (1 bio 1).
Veličina novčanih kazni povećana je sa 10.000 rubalja na 290.000 rubalja. Maksimalni iznos novčanih kazni prijeti onima koji su apsolutno prekršili sve zahtjeve iz stava 1. - 6. čl. 13.11 Administrativni kod. Ovo je prilično teško, ali o tome u nastavku.

Ko će biti kažnjen?

Kazne će biti operateri, odnosno oni koji se bave ličnim podacima, uključujući prikupljanje. Jednostavan naziv zahtjeva i telefonski broj (ili e-mail) već se obrađuje.
Roskomnadzor Da biste potvrdili da obrađujete lične podatke, bit će dovoljan da vidite na vašoj web lokaciji povratne informacije, pretplatu u biltenu ili mogućnost registracije na ličnom računu. U tim slučajevima padnete u zakon, a u odnosu na vas moguće je provesti inspekciju poštivanja zakonodavstva u oblasti ličnih podataka.
Stoga smo napravili branitelja iz FZ N 152.

Mi klijenti Callibri.ru, kako biti legalni?

Branitelj iz saveznog zakona 152 - Sistem formacije dokumenta, tako da vaš, i naš posao su radili u potpunosti u skladu sa zahtjevima FZ N 152.

To je ono što trebate učiniti:

Pa izgleda kao:

Bitan!

Sve je to? Sada nisam vezan za 290 tr.

Ne baš. Defender radi samo ako:

načini prikupljanja podataka ne razlikuju se od onih koje ste odabrali u postavkama;
ciljevi prikupljanja podataka ne razlikuju se od onih koje ste odabrali u postavkama;
ne koristite druge usluge za prikupljanje i obradu drugih usluga osim Callibri.ru.

U svim ostalim slučajevima možete imati problema. O njima u nastavku.

Koristim druge usluge koje sakupljaju lične podatke. Kako biti legalan?

Izbrišite sve u pakao. Ne možemo biti odgovorni za usklađenost drugih usluga sa zahtevima FZ N 152 "o ličnim podacima". Dobro je što u našem portfelju postoji sve što vam treba: ColleRtainground, povratni poziv, mrežni poziv, aplikacija i internetski savjetnik.
Povežite Callibri.

Ali ako zaista želite koristiti druge usluge i / ili svoje ciljeve i / ili načine za obradu ličnih podataka različit Od kalibri.ru predložio ćete privući vanjske savjetnike za razvoj dokumenata u vezi s osobnim obradom podataka, kako bi ih upoznali i sačekali provjeru roskomnadzora i novčanih kazni na njene rezultate. I to je do 290 tr.

Šta će tačno branitelj sačuvati?

Prvo, vaša web lokacija će ispuniti sve zahtjeve zakonodavstva (stav 2. dio 2 čl. 5, 1. dio, dio 2 čl. 18,1 FZ N 152 "o ličnim podacima"). Znatno smanjuje rizik od pokretanja inspekcije i povećava vašu pouzdanost u očima kupaca. Drugo, Roskomnadzor neće imati terene:

Kaznila vas u iznosu do 30.000 rubalja. Za neuspjeh u pružanju neograničenih politika (3. dio, član 13.11. Administrativnog zakonika Ruske Federacije).
Na primjer: kažnjeno zbog nedostatka politika na mjestu.
Da biste se tiče u iznosu do 50 000 rubalja. Za obradu ličnih podataka koji nisu kompatibilni sa ciljevima prikupljanja.
Na primjer: isporučujete robu i zatražite skeniranje pasoša kada bi vam bilo dovoljno samo puno ime i adrese.

Hoćete li nas obavijestiti o nama roskomnadzor?

Ne, ne obavijesti. Nije potrebno. Hvala bogu. Za sada.

Zašto ne notify roskomnadzor?

Prema delu 2 umetnosti. 22 FZ N 152 Operator ima pravo na obradu ličnih podataka bez obavještavanja roskomnadzora u nekim slučajevima. Sve se neće popisati, ali ključ njih:
Primljeni od strane operatera u vezi s zaključicom ugovora, čija je stranka predmet ličnih podataka, ako se lični podaci ne primjenjuju i ne pružaju se trećim stranama bez pristanka ličnog entiteta podataka i koriste ih operator isključivo za izvršenje navedenog ugovora i zaključuje sporazume sa temom ličnih podataka;
Oni. Ako prvoborni prikuplja i obrađuje

nije pruženo trećim stranama bez pristanka predmeta ličnih podataka;
koristi se isključivo za izvršenje ugovora, u vezi s zaključkom koji su dobili i zaključuju sporazume sa temom ličnih podataka;

Obavijesti roskomnadzor ne nužno!

I mnogi kažu što vam treba ...

Zakon je kontroverzan, postoji mnogo mišljenja, tumačenja i nagađanja beskrupuloznih pravnika na ovoj temi. Još nema sudske prakse. Zato zapamtite: Globalno imate 3 opcije

Budite potpuno ilegalni. Nema čega za razgovor. Rizici su mnogo veći nego što su opisani u ovom članku;
Radite legalno, zahvaljujući Callibri dokumentima. Ali ne i notify roskomnadzor;
Da biste legalno radili i obavijestili Roskomnadzor i pojavi se u registru operatora ličnih podataka.

Preporučujemo 2. opciju, jer U ovom slučaju, vaše vrijeme i snage snage bit će 30 minuta (za čitanje ovog članka ispunjavajući upitnik i potpisivanje naloga). A maksimalno u redu, ako se robkomnadzor ne sviđa (to je za nedostatak obavijesti), bit će 5 hiljada rubalja (za pravne osobe).
U 3. verziji vi i snage i novac će trebati više, a vjerojatnost planirane inspekcije značajno će se povećati.
Stoga vjerujemo da će većina poduzeća našeg dizajnera zaštite iz FZ N 152 biti dovoljna.

Trebate upozoriti sve posjetitelje o datotekama obrade kolačića?

Ovdje kao i uvijek dva pravnika su tri mišljenja. Naši odvjetnici smatraju da su informacije samih datoteka kolačića nisu lični podaci, u odvajanju drugih podataka korisnika. Priča se da Roskomnadzor još nije skreće pažnju na to. Ipak, ako želite u potpunosti osigurati, zatražite programere vaše web lokacije da dodaju skočni prozor s takvim tekstom: "Slažem se sa obradom kolačića" (sa "OK" tipkom).

Weblist vidi lične podatke. Šta učiniti?

Bez brige! Prema preporukama Yandexa, branili smo sva polja u kojima se mogu navesti lični podaci, posebna klasa. Zahvaljujući ovom čipu, Weblist neće vidjeti perzijske korisnike koji su vođeni u obrasce na mjestu.

Slika

I odlučili smo odrediti sve pojmove tako da nemate nikakva pitanja u potpunosti.
Lična informacija - Bilo kakve informacije koje se odnose na direktno ili indirektno definirane ili definirane fizičkom osobom (podliježe ličnim podacima), uključujući: svoje prezime, ime, patronim, datum, godinu, datum i mjesto rođenja, adrese, e-mail, broj telefona, Ostale identifikacijske informacije (vidi FZ-152, član 3, 10, 11).

Trenutno se popis ličnih podataka nije zatvoren, ako sumnjate da li su podaci lični, odnose se na advokata za pojašnjenje.

Obrada ličnih podataka - To je bilo kakva radnja ili skup akcija, uključujući prikupljanje, snimanje, sistematizaciju, akumulaciju, skladištenje, profinjenost, vađenje, upotrebu, prijenos (distribuciju, pristup), devincije, blokiranje, brisanje, uništavanje ličnih podataka.
Operator - Pravni ili pojedinac, samostalno ili zajedno s drugim osobama koje organizuju i (ili) obradu osobnih podataka, kao i određivanjem svrhe osobnih podataka, sastav ličnih podataka koji se obrađuju, akcije (operacije) obavljaju se s osobnim podacima.
Distribucija ličnih podataka - Radnje usmjerene na otkrivanje ličnih podataka od strane neodređenog kruga osoba.
Uništavanje ličnih podataka - Radnje koje proizlaze iz kojeg postaje nemoguće vratiti sadržaj ličnih podataka u informacijskog sustava osobnih podataka i (ili) kao rezultat kojih se bave materijal koji se bave.

Alexey Anashkin
Vodeći specijalista
LLC "Složena zaštita informacija"

27. jula 2006. godine prihvaćen je Savezni zakon br. 152-FZ "o ličnim podacima" Da bi se osigurala zaštita ljudskih prava i sloboda i građana u obradi svojih ličnih podataka, uključujući zaštitu prava na privatnost, osobnu i porodičnu tajnu. Jedan od razloga za usvajanje ovog zakona bili su brojne činjenice krađe baza podataka osobnih podataka u državnim i komercijalnim strukturama, njihova raširena prodaja.

Šta znači pojam "lični podaci"?

Na primjer, definicija ličnih podataka (PDN) ispunjena je prije usvajanja zakona, na primjer, na "listi povjerljivih podataka", odobreno uredba predsjednika Ruske Federacije № 188 Od 6. marta 1997:

Do povjerljiva informacija Uključite: informacije o činjenicama, događajima i okolnostima privatnog života građana koji mogu identificirati njegov identitet ( lična informacija), s izuzetkom informacija koje će se distribuirati u medijima u slučajevima utvrđenim saveznim zakonima.

Međutim, zakon ga nadopunjuje. Sada, prema FZ-152, lični podaci -

sve informacije koje se odnose na određenu ili definisanu fizičku osobu na osnovu takvih informacija (predmet ličnih podataka), uključujući i svoje prezime, ime, patronim, datum i mjesto rođenja, adrese, porodici, socijalnu, situaciju u imovini, Obrazovanje, profesija, prihod, Ostale informacije.

Dakle, lični podaci su, prije svega, pasoške detalje, informacije o bračnom statusu, informacije o obrazovanju, broju gostioca, osiguranog svjedočenja državnog penzijskog osiguranja, zdravstvenog osiguranja, statusa rada, socijalnom i imovinom, Informacije o dohotku. Takvi podaci su praktično u svakoj organizaciji.

Prilikom ulaska u rad su podaci poslodavskog odjela za osoblje koje zaposleni ukazuje na ličnu karticu, autobiografiju, druge dokumente ispunjene ugovorom o radu.

Kada se djetetov prijem u vrtić, školska, institut, ostale obrazovne ustanove ispunjavaju i razne upitnike i obrasce koji ukazuju na podatke kao dijete (na primjer, podaci rodne knjige) i njegove roditelje (do mjesta) posla koji se drži u položaju).

Prilikom liječenja liječenja u medicinskim ustanovama potrebno je navesti ne samo podatke o pasošu, već i informacije o prednostima, zdravstvenim osiguranju, informacijama o prethodnim tretmanima, rezultatima analize. U mnogim medicinskim ustanovama, ambulantne / stacionarne kartice dupliciraju se u elektroničkom obliku.

I svi ti podaci, prema važećem zakonodavstvu, moraju biti zaštićeni.

Zašto započnite zaštitu i da li je to uopće potrebno?

Politika privatnosti - Obavezno za poštivanje operatera ili drugog stečenog pristupa zahtjevu personalizirane osobe kako bi se spriječilo njihovo širenje bez pristanka predmeta ličnih podataka ili prisutnosti različitog pravnog osnova (FZ-152).

Operator je državno tijelo, općinsko tijelo, pravna ili pojedinačna, organizirana i (ili) obrada osobnih podataka, kao i određivanje ciljeva i održavanja obrade ličnih podataka (FZ-152).

Informacioni sistem ličnih podataka (DVN) je informacioni sistem koji je skup osobnih podataka sadržanih u bazi podataka, kao i informacione tehnologije i tehnička sredstva koja omogućavaju obradu takvih ličnih podataka koristeći ili bez upotrebe takvih sredstava (FZ-152) .

Obrada ličnih podataka - To su akcije (operacije) sa PDN-om, uključujući prikupljanje, sistematizaciju, akumulaciju, skladištenje, profinjenost (ažuriranje, promjena), korištenje, distribucija (uključujući prijenos), deservatona, blokiranje, uništavanje ličnih podataka (FZ-152).

Operator tokom prerade PD-a trebao bi poduzeti sve potrebne organizacijske i tehničke mjere za zaštitu osobnih podataka od nezakonitih ili slučajnog pristupa, uništavanja, promjena, blokiranja, kopiranja, distribucije ličnih podataka, kao i druge ilegalne radnje.

Šta trebate učiniti da biste zaštitili lične podatke?

Prije svega, potrebno je odrediti koji PD informacijski sustavi imaju i koji vrstu PDN-a se obrađuju u njima.

Klasifikacija informacionog sistema osobnog podataka

Da bi shvatili koliko je problem zaštite PDN-a od suštinskog značaja, kao i za odabir potrebnih metoda i metoda zaštite PDN-a, operater treba klasificirati. Postupak klasifikacije je definiran naredba FSTEC-a Rusije, FSB Rusije i Ministarstvo obrane Komunikacije Rusije br. 55/86/20 od 13. februara 2008. godine.

Dakle, operator formira komisiju (po nalogu glave organizacije), koji nakon analize izvornih podataka odlučuje o dodjeli odgovarajuće klase. Tokom klasifikacije se određuje:

kategorija prerađenih ličnih podataka;
iznos obrađenih ličnih podataka;
vrsta informacionog sistema;
struktura informacionog sistema i lokaciju njenih tehničkih sredstava;
načini obrade ličnih podataka;
načini ograničenja prava korisnika;
dostupnost veza sa općim korištenim mrežama i (ili) mrežama međunarodne razmjene informacija.

Prema nalogu br. 55/86/20, svi informacijski sustavi (IP) podijeljeni su u tipično i posebne.

Modelni informacioni sistemi - Informacioni sistemi koji zahtijevaju samo povjerljivost ličnih podataka.

Posebni informacioni sistemi - Informacioni sistemi, u kojima, bez obzira na potrebu osiguranja povjerljivosti ličnih podataka, potrebno je osigurati barem jednu od karakteristika sigurnosti ličnih podataka osim povjerljivosti (zaštićena od uništenja, promjena, blokiranja, kao i drugo Neovlaštene akcije).

U praksi se ispostavilo da je tipičan IP praktički ne, jer je u većini slučajeva, pored povjerljivosti, također je potrebno osigurati integritet i dostupnost informacija. Pored toga, obavezan za posebne sisteme treba da uključuje:

informacioni sistemi u kojima se obrađuju lični podaci koji se odnose na zdravlje ličnih podataka;
informacijski sustavi koji pružaju usvajanje na osnovu isključivo automatizirane obrade ličnih podataka rješenja koja stvaraju pravne implikacije u vezi s predmetom ličnih podataka ili na drugi način utječe na njena prava i legitimne interese.

Dakle, prema rezultatima analize izvornih podataka, Komisija dodjeljuje odgovarajuću klasu:

klasa 1 (K1) - Informacioni sistemi za koje se kršenje navedenih sigurnosnih karakteristika osobnih podataka obrađuju u njima može dovesti do značajnih negativnih posljedica za lične podatke;

klasa 2 (K2) - Informacioni sistemi za koje se kršenje navedenih sigurnosnih karakteristika osobnih podataka obrađuju u njima može rezultirati negativnim posljedicama za lične podatke;

klasa 3 (K3) - Informacijski sustavi za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka obrađenih u njima može dovesti do manjih negativnih posljedica za lične podatke;

klasa 4 (K4) - Informacioni sistemi za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka obrađenih u njima ne dovode do negativnih posljedica za lične podatke.

Rezultati klasifikacije izrađuju se činom klasifikacije CD-a koji ukazuje na vrstu umiranja (tipično, posebne), dodijeljene klase i uvjete, na osnovu koje je donesena odluka.

Kao što je već spomenuto, klasifikacija je potrebna za daljnji izbor metoda i sredstava zaštite PD-ova obrađenih u CDN-u, jer je u dokumentima FSTEC-a i FSB-a, svaka klasa postavljena na zaštitu CAD-a, koja će biti razgovarao s malo kasnije.

Saglasnost PDN-a podložnom obradi

Zatim je potrebno nastaviti da obrađuje ove podatke, ali prije nego što je njihova obrada legitimna, potrebno je dobiti saglasnost predmeta osobnih podataka za obradu (na taj način sprječava ilegalnu prikupljanje i upotrebu ličnih podataka):

Član 6 FZ-152:

Obrada osobnih podataka može obavljati operater sa pristankom PD entiteta, osim u slučajevima:

1) obrada ličnih podataka vrši se na osnovu saveznog zakona koji uspostavlja svoj cilj, uslove za dobijanje ličnih podataka i kruga ispitanika, čiji se lični podaci treba obraditi, kao i određivanje ovlaštenja operatera;

2) obrada ličnih podataka vrši se kako bi se izvršio ugovor, čija je jedna od stranaka tema ličnih podataka;

3) obradu osobnih podataka vrši se za statističke ili druge naučne svrhe, podložne obaveznom iscrpljivanju ličnih podataka;

4) obrada ličnih podataka potrebna je za zaštitu života, zdravlja ili drugih vitalnih interesa predmeta ličnih podataka, ako primanje pristanka predmeta ličnih podataka nemoguće je;

5) Obrada ličnih podataka potrebna je za dostavu poštanskih pošiljaka po poštanskim organizacijama, za obavljanje telekomunikacionih operatera sa korisnicima komunikacijskih usluga za pružene komunikacijske usluge, kao i za razmatranje pritužbi korisnika komunikacijskih usluga;

6) obrada osobnih podataka vrši se u cilju profesionalnih aktivnosti novinara ili u svrhu naučnih, književnih ili drugih kreativnih aktivnosti, pod uslovom da se prava i slobode predmeta ličnih podataka ne povrede;

7) Obrada ličnih podataka koja će biti objavljena u skladu sa saveznim zakonima, uključujući osobne podatke osoba koje zamjenjuju vladine pozicije, javne službe za državne službe, kandidate za lične podatke za izabrane državne ili općinske pozicije.

Dakle, ako je naš slučaj obrade slučaja predviđen za 2. dio članka 6. FZ-152, tada je primanje saglasnosti neobavezno.

Također je potrebno voditi Kôd rada, poglavlje 14. Na primjer, poslodavac ima pravo primiti i obrađivati \u200b\u200bpodatke o privatnosti zaposlenika samo uz pismeni pristanak (Član 86 Dio 4 TC).

U skladu s člankom 9. FZ-152, potrebna je pristanka predmeta ličnih podataka o obradi njegovih ličnih podataka u pisanom obliku. Pismeni pristanak predmeta ličnih podataka treba sadržavati:

prezime, patronim, adresa predmeta ličnih podataka, broj glavnog dokumenta koji potvrđuje njegov identitet, informacije o datumu izdavanja navedenog dokumenta i izdaje ga nadležnošću;
ime (prezime, ime, patronim) i adresu operatera koji prima pristanku predmeta ličnih podataka;
svrha obrade ličnih podataka;
popis ličnih podataka, na obradi koji je dat saglasnost predmeta ličnih podataka;
popis akcija sa ličnim podacima, čija je komisija saglasnost, opći opis metoda obrade osobnih podataka koje koristi operator;
izraz tokom kojih pristanak djela, kao i postupak njegovog opoziva.

Propisi koji regulišu postupak obrade i zaštite PDN-a

Dakle, operator je primio (ako je potrebno) pristanak na obradu ličnih podataka - lični podaci mogu se obraditi. Ali, prema Zakon o radu A FZ-152 treba razviti (ako postoji, za prebivanje u skladu s FZ-om), reguliranje postupka skladištenja, obrade i zaštite ličnih podataka. Hajde da ga uslovno pozovemo Sigurnost ličnih podataka. Osiguranje ličnih podataka je interna (lokalna) dokumenta o organizaciji. Ne postoje strogi oblici ovog dokumenta, ali mora ispunjavati zahtjeve TC i FZ-152, a, prema tome, treba naznačiti:

Odredba sigurnosti ličnih podataka odobrava šef organizacije ili osobe koju je odobrila od njega, uvodi se redoslijed vođe. Poslodavac je dužan upoznati zaposlenog sa situacijom ... pod potpisom.

Lista osoba primljenih u PD obradu

Pored toga, potrebno je izdati lista osoba primljenih u PD obradu. Lista tih (po postovima) kojima je pristup PDN-ima potreban za ispunjavanje službenih dužnosti. Prije svega, ovo su zaposlenici kadrovske službe, jer prikupljaju i formiraju podatke o zaposlenom, kao i zaposlenima u računovodstvu. Pored toga, pristup tim informacijama može primati menadžere strukturnih jedinica (na primjer, šefova odjela) - i potrebno je i na popisu odražavati. Međutim, imaju pravo da zatraže nikakve podatke, već samo oni koji su neophodni za obavljanje specifičnih radnih funkcija (na primjer, izračunavanje poreznih beneficija, računovodstvo neće dobiti sve informacije o zaposlenom, već samo podatke o broju zaposlenika, već samo podatke o broju njegovi ovisnici). Stoga je preporučljivo propisati listu informacijskog resursa na koje su korisnici dozvoljeni.

Popis osoba napravljenih na PD obradi mogu se izdati kao aneks osiguranja lične podatke ili zasebnim dokumentom koji je odobrio glavom.

OBAVIJEST ROSKOMNADZOR

Sljedeće, u skladu s člankom 22. FZ-152, operator prije početka obrade osobnih podataka dužan je obavijestiti ovlašteno tijelo za zaštitu prava PDN-ova (danas je Federalna služba za nadzor komunikacija, Informacijske tehnologije i masovne komunikacije (Roskomnadzor)) o svojoj namjeri za obradu PDN-a, osim u predviđenim slučajevima dio 2 članka 22. FZ-152:

Operator ima pravo izvršiti bez obavještenog tijela da zaštiti prava ličnih podataka u obradu ličnih podataka:

1) povezan sa predmetima ličnih podataka da su radni odnosi sa operatorom povezani;

3) pozivajući se na članove (učesnike) javnog udruženja ili vjerskog organizacije i preradi relevantno javno udruženje ili vjerska organizacija koja djeluje u skladu sa zakonodavstvom Ruske Federacije radi postizanja legitimnih ciljeva predviđenih konstitutivnim dokumentima, pod uvjetom da su osobni Podaci se neće distribuirati bez pristanka u pisanom obliku predmeta ličnih podataka;

4) ko su javno dostupni lični podaci;

5) uključujući samo prezimena, imena i patronim subjekata ličnih podataka;

6) neophodno za potrebe jednokratnog prolaza predmeta ličnih podataka na teritoriju na kojoj je operator ili u drugim sličnim svrhama;

7) uključeno u informativne sisteme ličnih podataka koji imaju u skladu sa saveznim zakonima status saveznih automatiziranih informacionih sistema, kao i u državnim informacijskim sistemima ličnih podataka stvorenih u cilju zaštite sigurnosti države i javnog reda;

8) obrađeni alati za automatizaciju u skladu sa saveznim zakonima ili drugim regulatornim pravnim aktima Ruske Federacije, koji uspostavljaju uslove za osiguranje sigurnosti ličnih podataka prilikom obrade i u skladu sa pravima ličnih podataka

Zahtjevi za obavijesti su naznačeni u 3. dio članka 22 FZ-152. Oblik obavijesti o obradi (o namjeri obrade osobnih podataka može se popuniti u elektroničkom obliku na web mjestu Roskomnadzor: http://pd.rsoc.ru/operators-registry/notification/form/

Sada možete nastaviti sa obradom ličnih podataka, paralelno rješavanje najsloženijeg složenijeg i problematičnog pitanja - Osiguravanje sigurnosti ličnih podataka prilikom obrade njih.

Osiguravanje sigurnosti ličnih podataka prilikom obrade njih

Događaji za zaštitu informacija i mogu dovesti do značajnih financijskih troškova, zbog potrebe:

dobiti (ako je potrebno) licencu na aktivnosti na tehničkoj zaštiti povjerljivih podataka FSTEC-a Rusije;
privući licenci za licenjom FSTEC-a za provedbu mjera za stvaranje sistema za zaštitu CTF-a i / ili njezine certificiranje za sigurnosne zahtjeve informacija;
pošalji zaposlene odgovorne za osiguranje sigurnosti podataka o naprednim tečajevima za obuku o zaštiti informacija i / ili zapošljavanju profesionalaca za zaštitu informacija;
uspostaviti certificirano za zahtjeve FSTEC-a zaštite informacija (srzziju), certificirane FSB kriptografske alate za zaštitu informacija (SCJ), ovisno o klasi CDM-a.

Nešto se može učiniti sam, ali negdje bolje povjeriti stručnjake. Ali potrebni su zaštićeni lični podaci, na ovaj ili onaj način.

Član 19, FZ-152:

Operator u obradi ličnih podataka dužan je poduzeti potrebne organizacijske i tehničke mjere za zaštitu ličnih podataka od nezakonitih ili slučajnog pristupa, uništavanja, promjena, blokiranja, kopiranja, distribucije ličnih podataka, kao i drugih ilegalnih radnji.

"Propisi o osiguravanju sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka", odobreni uredbom Vlade Ruske Federacije br. 781 od 17. novembra 2007. godine
"Odredba o značajkama obrade osobnih podataka provedenih bez upotrebe alata za automatizaciju", odobreno odredbama Vlade Ruske Federacije br. 687 od 15. septembra 2008. godine.
"Zahtjevi za nosioce materijala biometrijskih ličnih podataka i tehnologije za pohranu takvih podataka izvan informacijskih sustava ličnih podataka", odobreni odredbom Vlade Ruske Federacije br. 512 od 6. jula 2008. godine.
Posebni zahtjevi i preporuke za tehničku zaštitu povjerljivih podataka (P-K) odobreni su po nalogu Državne komisije Rusije br. 282 od 30. avgusta 2002. (iverice)
Osnovni model sigurnosnih prijetnji osobnim podacima kada se obrađuju u informacionim sistemima ličnih podataka od 15. februara 2008. (ekstrakt, kada razmatraju prijetnje curenja informacija kroz kanale sa strane elektromagnetskog zračenja i pritiska (pemin), to potrebno je primijeniti punu verziju ovog dokumenta - iverice)
Metode za određivanje trenutnih prijetnji sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka od 15. februara 2008. (bilješka "za službenu upotrebu" podignuta je Odlukom FSTEC-a od 16. novembra 2009.)
Preporuke za osiguranje ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka od 15. februara 2008. (bilješka "za službenu upotrebu" podignuta je Odlukom FSTEC-a od 11. novembra 2009.)
Glavne aktivnosti na organizaciji i tehničku podršku sigurnosti ličnih podataka obrađenih u informacionim sistemima ličnih podataka od 15. februara 2008. (bilješka "za službenu upotrebu" podignuta su Odlukom FSTEC-a od 11. novembra 2009.)
Smjernice za osiguravanje sigurnosti ličnih podataka uz pomoć sigurnosti ličnih podataka kada se obrađuju u informacionim sistemima ličnih podataka pomoću alata za automatizaciju. FSB, 21. februara 2008
Tipični zahtjevi za organiziranje i osiguranje funkcioniranja enkripcijskih (kriptografskih) sredstava namijenjenih zaštiti informacija koje ne sadrže informacije koje čine državnu tajnu ako se koriste za osiguranje sigurnosti ličnih podataka prilikom obrade u informacionim sistemima ličnih podataka. FSB, 21. februara 2008

Sve nećemo detaljno razmotriti sve zahtjeve koji se moraju izvesti kako bi se osigurala sigurnost PDN-a prilikom obrade u CDM-u, ima ih mnogo, a snažno ovise o specifičnom CDN-u. Dopustite da nastanemo na glavnim točkama koje često izazivaju poteškoće od operatera.

Licenca - dobiti ili ne da dobiješ?

Zakonodavstvo, kao i FSTEC dokumenti recite nam sljedeće:

Član 16, deo 6 FZ-149 "O informacijama, informacionim tehnologijama i zaštiti informacija" od 27. jula 2006:

Federalni zakoni mogu uspostaviti ograničenja upotrebe određenih načina zaštite informacija i provedbu određenih vrsta aktivnosti zaštite informacija.

Član 17, 1. dio, stavak.11 FZ-128 "O licenciranju određenih vrsta aktivnosti" od 8. avgusta 2001:

U skladu s ovim saveznim zakonom, sljedeće aktivnosti podliježu licenciranju: tehnička zaštita povjerljivih podataka.

Uredba Vlade Ruske Federacije № 504 "O licenciranju aktivnosti na tehničkoj zaštiti povjerljivih podataka" od 15. avgusta 2006

Prema tehničkoj zaštiti povjerljivih informacija shvaćeno je kao skup događaja i (ili) usluga za njegovu zaštitu od neovlaštenog pristupa, uključujući tehničke kanale, kao i na posebnim utjecajima na takve podatke kako bi ga uništili, izobličali ili blok pristupili Za to.

Glavni događaji ... FSTEC
Stavak 3.14.

U skladu s odredbama Saveznog zakona br. 128 "o licenciranju određenih vrsta aktivnosti" i zahtjevi vladine uredbe br. 504 "o licenciranju tehničke zaštite aktivnosti za povjerljive informacije" operatori PDN-a u provođenju mjera za osiguravanje Sigurnost PDN-ova (povjerljive informacije) kada se obrađuju u CID 1, 2 i 3 (distribuiranim sistemima), trebaju dobiti licenca za obavljanje tehničke zaštite povjerljivih podataka prema utvrđenom nalogu.

Takođe na pitanje potrebe za odgovorom na dozvolu Šef odjela za upravljanje FSTEC Rusija Nazarov Igor Grigorievich Na okruglom stolu koji drži časopis "Connect! Svjetska komunikacija" (http://www.connect.ru/article.asp?id\u003d9406):

Pitanje: Trebam li operatore obrađivati \u200b\u200bosobne podatke u CDN-u, dobivanje dozvole za tehničku zaštitu povjerljivih podataka?

Igor Nazarov: U skladu s dokumentima FSTEC-a, licenca je potrebna za PD operatere, koji samostalno provode takve aktivnosti na informacionim sistemima 1, 2 klase i teritorijalno distribuiranih 3 klase, u pravilu, to su veliki državni informacijski sustavi. Istovremeno, za kliniku, vrtići, ljekarne itd., Imajući uzuju 3 i 4 klase, nisu potrebne takve licence.

U skladu s uredbom Vlade Ruske Federacije od 17. novembra 2007. godine, ako se operater nameće sporazumom o relevantnim aktivnostima u pogledu zaštite informacija (PDN) sa ovlaštenom osobom, licence FSTEC-a Rusije, da ima dozvolu, ne nužno.

Dakle, za male organizacije ekonomičnije, umjesto da dobiju licencu FSTEC-a o Viski za provođenje sigurnosnih aktivnosti PDN-ova (stvaranje sistema zaštite CTF-a, certifikacije) privući će FSTEC licence koji će voditi sve potrebne radove.

Za velike organizacije (poput telekom operatera, velikih banaka itd.) - Povoljan je za sami licencu i ispuniti sav potreban rad.

Definiran je postupak pružanja dozvole za obavljanje tehničke zaštite povjerljivih podataka " Propisi o licenciranju tehničke zaštite povjerljivih podataka"(Odobreno dekretom Vlade Ruske Federacije od 15. avgusta 2006. godine br. 504). Zahtjevi za dobijanje licence:

a) dostupnost u licenci državnog podnositelja zahtjeva (korisnik licence) stručnjaka sa višim stručnim obrazovanjem iz oblasti tehničke zaštite informacija ili viših ili sekundarnih stručnih (tehničkih) obrazovanja i prekvalifikacije ili napredne obuke o pitanjima tehničke zaštite;

b) prisustvo podnositelja prijave licence (Korisnik licence) prostorija za provedbu licenciranih aktivnosti koje ispunjavaju tehničke standarde i zahtjeve za tehničku zaštitu informacija utvrđenih regulatornim pravnim aktima Ruske Federacije, te desno od vlasništva ili na još jednu legitimnu osnovu;

c) Prisutnost metrološke kalibracije (kalibracija), označavanje i certificiranje u skladu sa zakonodavstvom Ruske Federacije o bilo kojoj legitimnoj osnovi proizvodnje, testiranja i mjerne opreme.

d) korištenje automatiziranih sustava Povjerljive informacije, kao i sredstva za zaštitu takvih podataka koje su prosljeđuju postupak za procjenu usklađenosti (certificiranih i (ili) sigurnosnih zahtjeva) u skladu sa zakonodavstvom Ruske Federacije;

e) upotreba namijenjena implementaciji licenciranih programa za elektroničke računarske mašine i baze podataka na temelju sporazuma sa svojim vlasnikom autorskih prava;

(e) dostupnost regulatornih pravnih akata, regulatornih i metodoloških dokumenata o pitanjima tehničke zaštite u skladu s popisom utvrđenom od strane Federalne tehničke i izvozne službe.

Faze kreiranja SWPDN-a

Prema Glavni događaji Za organizaciju i tehničku podršku sigurnosti ličnih podataka obrađenih u informacionim sistemima osobnih podataka koje izdaje FSTEC, stvaranje ličnog sustava zaštite podataka (SWPDN) sastoji se od sljedećih koraka:

1. Stage prije projekta

1.1 Ispitivanje objekta informatizacije:

uspostavljanje potrebe za obradom PDN-a u CPF;
definicija liste PDN-a koji treba zaštititi;
određivanje uslova za lokaciju CDN-a u odnosu na granice kontrolirane zone (KZ);
određivanje konfiguracije i topološke CD-a općenito i njegove pojedinačne komponente; Fizičke, funkcionalne i tehnološke obveznice i unutar boravka i drugih sistema različitih nivoa i odredišta;
određivanje tehničkih sredstava i sistema koji se koriste u zaštićenim zaobilaženjima, njihovim uvjetima;
određivanje sistemskih, posebnih i primijenjenih softverskih alata koji se koriste u zaštićenom CDN-u;
određivanje načina obrade podataka u CPF uopšte u pojedinim komponentama;
klasifikacija CDN-a;
utvrđivanje stupnja sudjelovanja osoblja u obradi (diskusija, prijenos, skladištenje) informacija, priroda njihove interakcije između sebe;
definicija i priprema liste ranjivosti i prijetnji sigurnosti informacija, procjenjujući relevantnost sigurnosnih prijetnji informacijama;
razvoj privatnog modela prijetnje.

1.2 Razvoj tehničkog zadatka u stvaranje SWPDN-a, koji mora sadržavati:

potkrijepljenje potrebe za razvijanjem SPSPDN;
početni CDN podataka u tehničkim, softverskim, informacijskim i organizacijskim aspektima;
klasa Kenned;
upućivanje na regulatorne dokumente, uzimajući u obzir SPSPDN i naručuje se;
konkretizacija događaja i zahtjeva za SWPDN;
lista certificiranih ovlaštenih alata za zaštitu informacija;
opravdanje razvoja vlastitih sredstava za zaštitu informacija s nemogućom ili neprimjerenom upotrebom korištenja certificiranih ovlaštenih alata za zaštitu informacija;
sastav, sadržaj i vreme rada na fazama razvoja i implementacije SPSPDN.

2. Faza dizajna i prodaje SPSPDN

2.1 Razvoj projekta za stvaranje SWPDN-a;

2.2 Razvoj organizacionih i tehničkih mjera za zaštitu informacija u skladu sa zahtjevima;

2.3 Kupovina certificiranog sredstva za zaštitu informacija;

2.4 Razvoj i primjena sustava dozvole za pristup korisnicima i osoblju do prerade informacija u boravak;

2.5 Instaliranje i konfiguriranje Srzija;

2.6 Definicija jedinica i pojedinaca odgovorna za rad sredstava za zaštitu informacija, obuku dodijeljenih osoba na specifičnosti zaštite PDN-ova;

2.7 Razvoj operativne dokumentacije za stambene i sredstva za zaštitu informacija, kao i organizacijsku i administrativnu dokumentaciju za zaštitu informacija (propisi, narudžbe, upute i druge dokumente);

2.8 Izvođenje drugih događaja usmjerenih na zaštitu informacija.

3. Faza puštanja u pogon SPSPDN

3.1 Iskusni rad alata za zaštitu informacija u kompleksu s drugim tehničkim i softverom kako bi se potvrdili njihov učinak kao dio CDN-a;

3.2 Ispitivanja prihvatanja za zaštitu informacija od rezultata probnog rada sa registracijom akata o prihvatanju;

3.3 Evaluacija sukladnosti Snimite podatke o sigurnosti sigurnosti - certificiranje (deklaracija) prema sigurnosnim zahtjevima za informacijama.

4. Održavanje i održavanje informacijskog sigurnosnog sistema

Organizaciona i administrativna dokumentacija za zaštitu PDN-a

Pored tehničkih rješenja sistema zaštite ličnih podataka, operator mora osigurati razvoj organizacijskih i administrativnih dokumenata koji će regulirati sva pitanja sigurnosti PDN-ova prilikom obrade u PSDC-u i rad SPSPDN-a. Postoji mnogo takvih dokumenata, glavni su:

1. PDN sigurnosna odredba - Na početku članka već smo se zabrinuli za imenovanje i sastav ovog dokumenta. Samo u slučaju da ponovimo - treba ih navesti:

cilj i zadaci u oblasti zaštite ličnih podataka;
koncept i sastav ličnih podataka;
u kojima se strukturne podjele i na koji nosači (papir, elektronički) akumuliraju i pohranjuju ove podatke;
kako je sakupljanje i skladištenje ličnih podataka;
kako se obrađuju i koriste;
koji (prema postovima) unutar firme ima pristup njima;
principi zaštite PDN-a, uključujući neovlašteni pristup;
prava zaposlenih u cilju osiguranja zaštite njihovih ličnih podataka;
odgovornost za otkrivanje povjerljivih informacija vezanih za lične podatke zaposlenih.

2. Organizovati sistem prijema i računovodstva osoba primljenih za rad sa PDN-ovima u PDN-u, - Lista osoba primljenih u PD obradu (Popis poslova za one koji je pristup PDN-ima potreban za ispunjavanje službenih dužnosti) i pristupne matrice (treba odražavati autoritet korisnika za obavljanje specifičnih akcija u vezi sa specifičnim informacijama o čitanju CDM-a, za snimanje, podešavanje, brisanje). Oba dokumenta odobrena je glavom.

3. Model privatnog prijetnje (Ako postoji nekoliko željnih, tada se model prijetnje razvija za svakog od njih) - razvija se u skladu sa rezultatima preliminarnog ispitivanja. FSTEC iz Rusije nudi osnovni model prijetnji sigurnosti ličnih podataka prilikom obrade u informacionim sistemima ličnih podataka, u skladu s čijem kreiranje privatnog modela, treba razmotriti:

prijetnje curenja informacija na tehničkim kanalima;
prijetnje neovlaštenom pristupom povezanom s postupcima nasilnika koji imaju pristup stambenim prenosima koji provode prijetnje direktno u CDN. Istovremeno, potrebno je kao potencijalni nasilnici za razmatranje pravnih korisnika Cadov;
prijetnje neovlaštenom pristupom povezanom s postupcima nasilnika koji nemaju pristup stanovima koji provode prijetnje vanjskim javnim komunikacijskim mrežama i (ili) mrežama razmjene međunarodne razmjene informacija.

Razvijeni model prijetnje odobrava glava.

4. Na osnovu odobrenog modela prijetnji mora se razviti CDM pDN sigurnosni zahtjevi prilikom obrade u PDN-ovima. Zahtjevi, poput modela prijetnje, neovisan je dokument koji bi trebao biti odobren od strane šefa organizacije.

Razviti model prijetnji i zahtjeva za operatoru, preporučljivo je privući stručnjake licence organizacija FSTEC.

5. Upute u pogledu osiguranja PDN-ova prilikom obrade u CPF-u.

Pored toga, prije svih aktivnosti na zaštiti PDN-a, operator mora dodijeliti službeniku ili (ako je posvećenost dovoljno velika) strukturna jedinica odgovorna za osiguranje sigurnosti PDN-a. Odluka o imenovanju izdaje se redoslijedom glave. Zadaci, funkcije i ovlasti službenog (podjela) odgovorne za osiguranje sigurnosti PDN-a određuju se internim organizacijskim i administrativnim dokumentima ( opisi poslova, propisi).

Šta je neophodno za potvrđivanje, a šta ne?

Često postavlja da se svi korišteni softver (softver) mora biti certificiran, a certificiranje je skupo i traje dugo vremena.

Međutim, u bilo kojem dokumentu za regulisanje zaštite PDN-ova, nije se ne govori da bi svi softver trebao biti certificiran. Certificirano prema zahtjevima FSTEC-a Rusije moraju biti sredstva za zaštitu informacija, ali ne i sistematski, primijenjeni ili poseban softver koji ne sudjeluju u bezobraznoj zaštiti.

Igor Nazarov: ... certifikat za odsustvo zabrinutosti NDV-a sigurnosna funkcionalnost, To je sredstvo zaštite, a ne cijeli softver koji se koristi u informacionom sistemu (http://www.connect.ru/article.asp?id\u003d9406).

Danas FSTEC dokumenti, koji se mogu pregledati na web stranici Federalne službe za tehničku i izvoznu kontrolu, recite nam o tome kako slijedi:

Treba koristiti certificirane informacije ovjerene za sigurnosne sustave i zaštitne sisteme.

Glavni događaji ...

Stavak 4.2: ... CdM treba kontrolirati za neprodarene mogućnosti u softveru i softveru i hardveru i analizu sistema i aplikativnog softvera.

Stavak 4.3: Za softver, koristi se kada se zaštićene informacije U mirovanju (alati za zaštitu informacija, uključujući ugrađeni u sistemski i aplikacijski softver), treba osigurati odgovarajuću razinu kontrole odsutnosti NDV-a.

Dakle, certificirajte sistemski i aplikativni softver, ako ne učestvujete u procesu zaštite informacija, nije potrebno - to se može učiniti na zahtjev operatera.

Praksa stvaranja PD zaštitnih sistema pokazuje da je potrebno koristiti licencirani softver (sistem, primijenjeni i poseban softver) i ovjerena zaštita informacija i zaštita od virusa (Ovo može biti sRZZ iz NSD-a, antivirusnih proizvoda, zaštitnih zidova, alata za otkrivanje provale, alata za analizu sigurnosti koji odgovaraju određenoj klasi). Ako ste postavljeni kriptografski alati za zaštitu informacija (SPJ), oni bi također trebali biti certificirani prema zahtjevima FSB Rusije.

Treba napomenuti da samo licenci FSTEC ima pravo na uspostavljanje certificirane SRSIS-a, a SKZI je licence za FSB.

Certifikat

Završna faza stvaranja obrane bi trebala biti certifikat (Izjava o usklađenosti) - kompleks organizacionih i tehničkih mjera, kao rezultat, kroz poseban dokument - potvrdu o sukladnosti (zaključak), potvrđeno je da dostojanstvo u skladu sa zahtjevima standarda ili drugih regulatornih i metodoloških podataka o sigurnosti informacijama. Prisutnost važećeg uvjerenja o usklađenosti daje pravo obrade podataka s odgovarajućim nivoom privatnosti za vremenski sastanak u potvrdi o sukladnosti.

Pitanje: Ko može potvrditi poslove za poštivanje zahtjeva zakonodavstva i regulatornih dokumenata iz oblasti ličnih podataka?

Igor Nazarov: Certifikacija kaidenship za usklađenost sa sigurnosnim zahtjevima za informiranje imaju pravo da drže FSTEC licence koji su licencirani na aktivnosti na tehničkoj zaštiti povjerljivih podataka (http://www.connect.ru/article.asp?id\u003d9406) .

Certifikati predviđa sveobuhvatnu provjeru (provjera atestacije) CPF u stvarnim radnim uvjetima kako bi se procijenila usklađenost usvojenog kompleksa mjera zaštite na potrebnu razinu sigurnosti PD-a.

U općem obliku certificiranja, stani u skladu sa sigurnosnim zahtjevima uključuju sljedeće korake:

analiza početnih podataka na certificiranom CDN-u;
provođenje stručnog ispitivanja CDN-a i analizu razvijene dokumentacije za sigurnost PDN-a za poštivanje zahtjeva regulatornih i metodoloških dokumenata;
provođenje sveobuhvatnih testova certifikacije CDN u stvarnim radnim uvjetima koristeći posebnu kontrolnu opremu za kontrolu sigurnosti neovlaštenog pristupa;
analiza rezultata sveobuhvatnog certifikacijskog testova, dizajna i odobravanja zaključka i potvrde o poštivanju u skladu sa rezultatima certifikacije.

Važno je to u slučaju promjene uvjeta i prerade tehnologije PDN operator dužan je obavijestiti organizaciju korisnika licence, sproveden certifikatom CAD-a. Nakon toga, organizacija licence odlučuje o potrebi dodatne provjere učinkovitosti CDN-ovog sistema zaštite.

Odgovornost i rizici za neuspjeh u ispunjavanju zahtjeva zakona

U slučaju neuspjeha u osiguravanju sigurnosnih zahtjeva PDN-ova, operator može imati rizike od civilnih tužbi od strane kupaca ili zaposlenih.

Zauzvrat može utjecati na reputaciju kompanije, kao i dovesti do prisilnog suspenzije (raskid) obrade PDN-ova, privlačenje kompanije i (ili) glave do administrativnih ili drugih vrsta odgovornosti, i pod određenim uvjetima - u određene uvjete - obustaviti radnju ili otkazivanje dozvola. Pored toga, prema saveznom zakonu, osobe krive za povredu zahtjeva prenose građanskom, krivičnom, administrativnom, disciplinskom i drugom odgovornošću predviđenim zakonodavstvom (član 24. fz-152):

Disciplinski (Kodeks rada Ruske Federacije, Članci 81, 90, 195, 237, 391);
Administrativni (Kodeks Ruske Federacije o administrativnim prekršajima, članci 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);
Krivični (Krivični zakonik Ruske Federacije, Članci 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

I šta je rezultat? ...

Mnogi su sada sugerirani da današnji zakonodavstvo i regulatorni dokument imaju mnogo netočnosti i u nečemu čak i prosjacima.

Mnogi se nadaju da je u decembru 2009. godine odlučeno proširiti rokove kako bi ispunili zahtjeve FZ-152 do januara 2011. godine.

Ali bez obzira na to, potreba za zaštite PDN-a ostataka.

I zato nije potrebno odgoditi rješenje ovog problema u duge kutiju i sada morate izvršiti potrebne mjere kako biste osigurali sigurnost ličnih podataka.

Državljanstvo

Kako slijedi od odredbi dijelova 2 i 3 člana 105 zračnog zakona Ruske Federacije, putničkog zračnog prevoza, ugovor o zračnom prijevozu ili ugovor o zračnom prijevozu certificiran je kartom i prtljagom u slučaju Putnički putnik, teret faktura, poštanska računa; Ulaznica, primitak prtljaga, drugi dokumenti koji se koriste u pružanju usluga zračnog prijevoza mogu se izdati u elektroničkom obliku (elektronički transportni dokument) s plasmanom informacija o uvjetima u ugovoru o zračnom prijevozu u automatiziranom informacionom sistemu zračnog prijevoza. Stoga su potrebni zračni nosači da bi implementirali gore navedene odredbe zakona izvršavanja aktivnosti za obradu ličnih podataka putnika u cilju dizajniranja dokumenata o potvrđivanju ugovora o zračnom prijevozu.

U skladu sa čl. 85.1 Air Code Ruske Federacije, kako bi se osigurala zrakoplovna sigurnost, prevoznici osiguravaju prijenos ličnih podataka putnika aviona na automatizirane centralizirane baze podataka o putnicima u skladu sa zakonodavstvom Ruske Federacije za sigurnost u transportu i Zakonodavstvo Ruske Federacije u oblasti ličnih podataka, s međunarodnim zračnim prevozom, također u ovlaštenim tijelima stranih zemalja u skladu s međunarodnim ugovorima Ruske Federacije ili zakonodavstvom odlaska stranih zemalja, imenovanja ili tranzita u iznosu u iznosu Zakonodavstvo Ruske Federacije, osim ako međunarodni ugovori nije drugačije utvrđen u Ruskoj Federaciji. Treba imati na umu da je Ruska Federacija dio niza međunarodnih konferencija za zračno prijevoz, Konvencija u Chicagu ( "Konvencija o međunarodnom civilnom vazduhoplovstvu" zaključena je u Chicagu 7. decembra 1944. godine, stupila na snagu Ruskoj Federaciji 16. avgusta 2005. - "Sastanak zakonodavstva Ruske Federacije", 30.10.2006., №44) , Varšavska konvencija ( "Konvencija o objedinjavanju nekih pravila koja se odnose na međunarodni vazdušni saobraćaj" 12. oktobra 1929. godine zaključena je na snagu za SSSR 13. februara 1933., zbirku postojećih ugovora, sporazuma i konvencija koje je SSSR-u zaključio SSSR sa stranim državama, izdato. VIII, - M., 1935., str. 326 - 339.) i Konvencija Guladahar ( "Konvencija, dodatna Konvencija Varšave, za ujedinjenje nekih pravila koja se odnose na međunarodni vazdušni saobraćaj, koji je izvršio ne-prevoznik prema ugovoru", zaključuje se u Gvaadalajari 18. septembra 1961. godine, stupio na snagu za SSSR na 21. decembra 1983., "Vedomosti SCSR SCSR", 15.02.1984., №7), koji također čine sastavni dio zakonskog regulacije zračnih prijevoznika i srodnih informacija.

Na osnovu prethodnog, zahtjeva 5. dio čl. 18 FZ "o ličnim podacima" ne primjenjuju se na aktivnosti ruskog, kao i vanjskih zračnih prijevoznika u pogledu prikupljanja i obrade osobnih podataka o putnicima za potrebe rezervacije, registraciju i izdavanje direktnih karata (putnih ulaznica), prtljaga Primanja i ostale dokumentacije za dostavu, jer oni spadaju pod izuzetkom predviđenim iz stavom 2. dijela 1 čl. 6 FZ "o ličnim podacima".

Zahtevi 5. dio čl. 18 FZ "O osobnim podacima" takođe se ne odnosi na aktivnosti osoba koje djeluju u ime avioprevoznika (ovlašteni agent), čije su aktivnosti predviđene od stava 6. općih pravila o zračnom prijevozu, prtljagu, tereta i zahtjeva za Služba putnika, brodara, primaljenih primalja odobrenih po nalogu Ministarstva saobraćaja Rusija br. 82 od 28. juna 2007. "o odobrenju saveznih vazduhoplovstva" Opća pravila za vazdušni prevoz putnika, prtljaga, tereta i zahteva za održavanje putnika, pošiljatelja, primalja, ", kao i druge osobe, u pogledu obrade osobnih podataka građana putnika isključivo za ciljeve rezervacije, registraciju i izdavanje poslednjih avionskih karata (turističke karte), primitka za prtljagu i druge transportne dokumente, uključujući Elektronski obrazac u domaćim i međunarodnim letovima, u slučaju da su gore navedene aktivnosti ovih osoba predviđene zakonodavstvom Ruske Federacije ili To je međunarodni ugovor, uključujući i za avial sigurnosne svrhe.

Ako obrada osobnih podataka padne pod iznimke predviđene od stavova 2, 3, 4., 8. dela 1 člana 6 saveznog zakona "o ličnim podacima", ne primjenjuju se odredbe 5. člana 182-FZ 18 152-FZ se ne primjenjuju . Odgovarajuća kvalifikacija aktivnosti obrade ličnih podataka i osiguravanje njegovog poštivanja zahtjeva zakona o zakonodavstvu obavlja operator ličnih podataka prilikom pružanja (pružanje takve obrade). Ispravnost navedenih kvalifikacija i obrade u određenoj situaciji provjerava ovlašteno savezno tijelo prilikom provođenja mjera kontrole.

Roba i usluge

Od skupa odredbi 5. člana 18 saveznog zakona "o ličnim podacima" ("Prilikom prikupljanja ličnih podataka, uključujući informacije i telekomunikacijske internete, operater je dužan davati ulazak, sistematizaciju, akumulaciju, skladištenje, usavršavanje (Ažuriranje, promjena), izdvojite lične podatke građana Ruske Federacije koristeći baze podataka koji se nalaze u Ruskoj Federaciji, s izuzetkom slučajeva navedenih u stavcima 2, 3, 4, 8 dijela 1 člana 6. ovog saveznog zakona) i stav 2. dela 1. člana 6. saveznog zakona "o ličnim podacima" ("Obrada ličnih podataka potrebna je za postizanje ciljeva predviđenih međunarodnim sporazumom Ruske Federacije ili zakona za provedbu i provedbu Ruska Federacija, autoritet i odgovornosti dodijeljene zakonodavstvu Ruske Federacije), slijedi da obrađuje osobne podatke u svrhe i u skladu s ratifikacijom zahtjeva Ruska Federacija Konvencije Vijeća Evrope o zaštiti pojedinaca u odnosu na automatiziranu obradu ličnih podataka ne u suprotnosti sa zakonodavstvom Ruske Federacije koji regulišu odnose u oblasti zaštite ličnih podataka. Pored toga, dio 5 člana 18 152-FZ ne ograničava prekogranični prijenos ličnih podataka građana Ruske Federacije.

Zakon ne predviđa koncept "primarne naknade" i utvrđuje zahtjeve za obradu osobnih podataka u bilo kojoj prikupljanju prikupljanja, dok isticanje takvih operacija s PD-om, kao pojašnjenjem (ažuriranje, promjena) informacija koje sadrže lične podatke. Za potrebe zakona, postupci i postupci akumulacije također su uključeni u proces prikupljanja informacija, što po sebi ne omogućava korištenje takvog koncepta kao "primarnu kolekciju". Dakle, zakon nameće obvezu operatera prilikom obrade prikupljenih ličnih podataka sistematiziranjem, akumulacijom, skladištenjem, rafiniranjem, vađenjem, korištenjem baza podataka koje se nalaze u ruskoj Federaciji. Dakle, ako za izvještavanje ili analiza informacija koje sadrže lične podatke, operator zahtijeva navedene oblike obrade ličnih podataka, takve akcije trebaju se provoditi pomoću baza podataka koje se nalaze u ruskoj Federaciji.

Tumačenje u dijelu primarne kolekcije nije tačno za sljedeće temelje. Zakon ne predviđa koncept "primarne naknade" i utvrđuje zahtjeve za obradu osobnih podataka u bilo kojoj prikupljanju prikupljanja, dok isticanje takvih operacija s PD-om, kao pojašnjenjem (ažuriranje, promjena) informacija koje sadrže lične podatke. Za potrebe zakona, postupci i postupci akumulacije također su uključeni u proces prikupljanja informacija, što po sebi ne omogućava korištenje takvog koncepta kao "primarnu kolekciju". Dakle, zakon nameće obvezu operatera prilikom obrade prikupljenih ličnih podataka sistematiziranjem, akumulacijom, skladištenjem, rafiniranjem, vađenjem, korištenjem baza podataka koje se nalaze u ruskoj Federaciji.

U skladu sa odredbama stava 7. dela 4 člana 16. saveznog zakona br. 149-FZ od 27. jula 2006. "o informacijama, informacionim tehnologijama i zaštiti informacija", vlasnik informacija, operator informacija Sistem u slučajevima utvrđenim zakonodavstvom Ruske Federacije dužni su osigurati teritoriju Ruske Federacije, baza podataka o informacijama koji se koriste, snimaju, sistematizaciju, akumulaciju, skladištenje, profinjenost (ažuriranje, promjena), ekstrakcija ličnih podataka građana Ruske Federacije.

Uzimajući u obzir odredbe 5. člana 18. saveznog zakona br. 152-FZ od 27. jula 2006. "o ličnim podacima" (ulazak na snagu 1. septembra 2015.), koji prikupljaju osobne podatke, uključujući Kroz informacije Telekomunikaciona mreža, operater je dužan pružiti snimanje, sistematizaciju, akumulaciju, skladištenje, preciziranje (ažuriranje, promjene), vađenje ličnih podataka građana Ruske Federacije, koristeći baze podataka koji se nalaze u ruskoj Federaciji, vjeruju da su prerada PD-a Građani Ruske Federacije na teritoriji drugih država mogu se izvesti isključivo u slučajevima predviđenim u stavovima 2, 3, 4, 8 dijela 1 člana 6 saveznog zakona "o ličnim podacima", za koji se nalazi Postojanje u dijelu 5 člana 18. 152-FZ. Trebalo bi i imati na umu da nema particija u "glavnu" bazu podataka o ličnim podacima i njenim "kopija". U oba slučaja govorimo o bazi podataka s kojom se obrađuju lični podaci. Istovremeno, savezni zakon ne sadrži upute o ukupnoj zabrani obrade ličnih podataka građana Ruske Federacije koristeći baze podataka koje nisu na teritoriji Ruske Federacije.

U vezi s tim, vjerujemo da obrada ličnih podataka građana Ruske Federacije prikupljanjem, snimanjem, sistematizacijom, akumulacijom, skladištenjem, pojašnjenjem, vađenjem može se izvesti koristeći baze podataka koje nisu na teritoriji Ruske Federacije u Slijedeći slučajevi:

ako takve aktivnosti spadaju u slučajeve predviđene u stavcima 2-4, 8 dijela 1 člana 6 152-FZ;
ako takve aktivnosti ne spadaju u predmete predviđene u stavcima 2-4, 8 dijela 1 člana 6 152-FZ, a na teritoriji Ruske Federacije koriste se za takvu obradu baza podataka o ličnim podacima koje sadrže veće Obim ličnih podataka ili jednak izvan teritorije Ruske Federacije (u ovom slučaju je neprihvatljivo za granice teritorije Ruske Federacije ličnih podataka koji istovremeno ne na teritoriji Ruske Federacije).

Prekogranični prijenos ličnih podataka nije zabranjen, pod uvjetom usklađenosti sa zahtjevima utvrđenim u članku 12. Saveznog zakona br. 132-FZ. U ovom slučaju, prekogranični prijenos podataka mora imati unaprijed određeni cilj obrade, kada se postigne predmet osobnih podataka, treba garantovati uništavanje prenesenih podataka na teritoriji strane države. U skladu sa navedenim zahtjevima, odgovornost predviđena ruskim zakonodavstvom primjenjiva je na operatera u slučaju kršenja postupka i uvjeta utvrđenih za ugovornog ugovora.

U skladu sa odredbama stava 2. iz člana 3. saveznog zakona "o ličnim podacima", operator je državno tijelo, općinsko tijelo, pravni ili pojedinac, samostalno ili zajedno sa drugim osobama koje organizuju i (ili) obrađuju ličnu Podaci, kao i definiranje ciljeva za obradu Osobni podaci, sastav ličnih podataka koji se obrađuju, akcije (operacije) obavljaju se ličnim podacima. Dakle, odredbe saveznog zakona br. 242-FZ primjenjuju se na sve gore navedene subjekte. Usvojeni savezni zakon ne veže širenje 5. člana 18 152-FZ samo operaterima, gdje je lična obrada podataka njihova osnovna djelatnost, ili operatorima obrađuju lične podatke samo koristeći informacijske i telekomunikacijske mreže.

Gore navedeni zahtjevi Zakona se dijele, između ostalog, za obradu operatera dobivenog kao rezultat prikupljanja ličnih podataka, naime, snimanja, sistematizacije, akumulacije, skladištenja, profinjenosti (ažuriranja, promjena), vađenje.

Razumijevanje tačnog. 152-FZ Izraz "upotreba ličnih podataka" ne otkriva. U svrhu interpretacije u okviru "Koristeći lične podatke", možete razumjeti akcije sa ličnim podacima koji nisu povezani sa drugim oblicima obrade ličnih podataka, uključujući donošenje odluka na osnovu osobnih podataka, za obavljanje primjene Osobni podaci (svrha prikupljanja osobnih podataka mora biti u skladu s korištenjem ličnih podataka).

Koncept "operatera" sadržan je u članku 3. Zakona br. 152-FZ, pod kojim se državno tijelo podrazumijeva, općinsko tijelo, pravni ili pojedinac, nezavisno ili zajedno sa drugim osobama koje organizuju i (ili) obrađuju lične podatke, Kao i određivanje podataka o osobnim prerađivanju, sastav ličnih podataka koji se obrađuju, akcije (operacije) počinjene sa ličnim podacima. Uzimajući u obzir da članak 3. Zakona br. 152-FZ ne sadrži iznimke u pogledu osobe pojedinačnih operacija na obradi ličnih podataka, kao i druge definicije osim operatera, osoba koja određuje svrhu obrade Osobni podaci ili provođenje pojedinačnih akcija za podatke o osobnim prerađivanju u kontekstu odredbi Zakona br. 152-FZ je operator za rukovanje osobnim podacima.

- Nije potrebno ponavljati ili dodatno obaveštenje o obradi ličnih podataka nakon 1. septembra 2015. Trebam li dodatno izvijestiti gdje se baze podataka nalaze?

Koncepti "ponovljenog" ili "dodatnog" obavijesti ne postoje. Član 22. Saveznog zakona "O osobnim podacima" uspostavlja obavezu operatera prije početka obrade ličnih podataka za slanje obavijesti. U dijelu 2. ovog člana, dat je niz izuzetaka kada takve obavijesti nisu potrebne. U saveznom zakonu br. 242-FZ, promjene su izvršene na 3. dijelu, što definira zahtjeve za sadržaj obavijesti. Ako je organizacija prethodno poslala obavijest Roskomnadzoru na obradu ličnih podataka, a zatim nakon ulaska na snagu zakon, operateri, vođeni po delu 7 ovog člana, moraju izvijestiti o mjestu pronalaska baze podataka u roku od deset radnih dana.

- Da li inicijalna naplata ličnih podataka na papiru na papiru, nakon čega slijedi njihov uvod u elektroničku bazu podataka dijela 5 člana 18. saveznog zakona br. 152-FZ?

Prema zahtjevima 5. člana 18. saveznog zakona br. 152-FZ, prilikom prikupljanja ličnih podataka, uključujući i putem informacionih i telekomunikacijskih mreža "Internet", operater je dužan osigurati snimanju, sistematizaciju, akumulaciju, skladištenje, POVREDENJA (Ažuriranje, promjena), uklanjanje građanskih podataka o građanima Ruske Federacije koristeći baze podataka koji se nalaze u Ruskoj Federaciji, s izuzetkom slučajeva navedenih u stavcima 2, 3, 4, 8 dijela 1 člana 6. ovog saveznog zakona . Temeljni princip zakonodavstva u oblasti ličnih podataka princip je prema kojem bi se obrada ličnih podataka trebala biti ograničena na postizanje specifičnih, unaprijed određenih i pravnih ciljeva. S tim u vezi, uvođenje ličnih podataka u informacioni sistem osobnih podataka koji se koriste u cilju prikupljanja podataka o papiru na papiru trebalo bi se smatrati jedinstvenim procesom, čijom implementacijom treba implementirati u strogom u skladu sa zahtjevima 5. dijela Članak 18. Saveznog zakona br. 152-FZ. Odvajanje navedenog pojedinačnog procesa u zasebne akcije zakonodavstvom Ruske Federacije u oblasti ličnih podataka nije predviđeno. Stoga su određene vrste obrade ličnih podataka predviđenih u dijelu 5 člana 18. saveznog zakona br. 152-FZ, uključujući prikupljanje ličnih podataka o papiru, nakon čega slijedi njihovo uvođenje u elektroničku bazu podataka, treba izvesti kao Jedan proces u pravnom polju zakonodavne norme. Obvezujući pohranjivanje ličnih podataka na teritoriji Ruske Federacije.

Sve o tuning automobilima