Gesetz zu den persönlichen Daten 152 FZ. Bundesgesetz "auf personenbezogenen Daten": Grundsätze mit einfachen Worten. Es betrifft dich, wenn
Für das Zweck dieses Bundesgesetzes werden folgende Grundkonzepte verwendet:
1) Persönliche Daten - alle Informationen, die sich auf direkt oder indirekt definiert oder indirekt definiert oder an die physische Person (Thema personenbezogener Daten) festgelegt);
2) Der Bediener ist der Staatskörper, der städtische Körper, rechtliche oder individuell, unabhängig oder zusammen mit anderen Personen, die mit anderen Personen organisiert und (oder) personenbezogene Daten organisieren, sowie die Ermittlung der persönlichen Datenverarbeitungszwecke, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, Aktionen (Operationen), die mit personenbezogenen Daten begangen wurden;
3) Verarbeitung personenbezogener Daten - jede Aktion (Betrieb) oder ein Satz von Aktionen (Operationen), die mit Automatisierungswerkzeugen oder ohne Verwendung personenbezogener Daten, einschließlich Sammlung, Aufnahme, Systematisierung, Akkumulation, Speicher, Verfeinerung (Aktualisierung, Änderung), Entfernen, Verwendung, Verwendung , Übertragung (Verteilung, Bereitstellung, Zugang), Depersonal, Blockierung, Löschung, Zerstörung personenbezogener Daten;
4) Automatisierte Verarbeitung personenbezogener Daten - Verarbeitung personenbezogener Daten mit Computing-Geräten;
5) die Verbreitung personenbezogener Daten - Maßnahmen, die darauf abzielen, personenbezogene Daten an einen unbestimmten Personenkreis anzugeben;
6) Bereitstellung von personenbezogenen Daten - Aktionen, die darauf abzielen, personenbezogene Daten an eine bestimmte Person oder einen bestimmten Personenkreis anzugeben;
7) Blockierung personenbezogener Daten - temporäre Beendigung der Verarbeitung personenbezogener Daten (außer in Fällen, in denen die Behandlung erforderlich ist, um personenbezogene Daten zu klären);
8) die Zerstörung personenbezogener Daten - Maßnahmen, wodurch es unmöglich ist, den Inhalt personenbezogener Daten im Informationssystem personenbezogener Daten wiederherzustellen, wodurch Materialträger zerstört werden;
9) Erleichtern von personenbezogenen Daten - Maßnahmen, die er resultieren, aus denen er ohne die Verwendung zusätzlicher Informationen unmöglich wird, um die personenbezogenen Daten aus dem spezifischen Thema personenbezogener Daten zu ermitteln;
10) Informationssystem personenbezogener Daten - ein Satz personenbezogener Daten, die in Datenbanken enthalten sind und ihre Verarbeitung von Informationstechnologie und technischen Mitteln sicherstellen;
11) Die grenzüberschreitende Übertragung personenbezogener Daten ist die Übertragung von personenbezogenen Daten in das Territorium eines ausländischen Staates von der Autorität des Auslands, einem fremden physischen Gesicht oder einer ausländischen juristischen Person.
Artikel 4. Rechtsvorschriften der Russischen Föderation im Bereich der personenbezogenen Daten
1. Die Rechtsvorschriften der Russischen Föderation auf dem Gebiet personenbezogener Daten basieren auf der Verfassung der Russischen Föderation und internationalen Verträge der Russischen Föderation und besteht aus diesem Bundesgesetz und anderen Fällen sowie Funktionen der Verarbeitung personenbezogener Daten der Bundesgesetze .
2. Basierend auf und zur Erfüllung der Bundesgesetze, staatlichen Stellen, dem Russland der Bank Russlands, können lokale Regierungsbehörden in ihrer Autorität regulatorische Rechtsakte, aufsichtsrechtliche Rechtsakte, Rechtsakte (nachstehend als regulatorische Rechtsakte bezeichnet) auf bestimmte Fragen in Bezug auf die Verarbeitung personenbezogener Daten. Solche Handlungen können keine Bestimmungen enthalten, die die Rechte der Konstituenten der personenbezogenen Daten einschränken (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
3. Merkmale der Verarbeitung personenbezogener Daten, die ohne den Einsatz von Automatisierungswerkzeugen durchgeführt werden, ohne dass Automatisierungswerkzeuge und andere regulatorische Rechtsakte der Russischen Föderation unternommen werden, wobei die Bestimmungen dieses Bundesgesetzes berücksichtigt werden.
4. Wenn der internationale Vertrag der Russischen Föderation andere Regeln eingerichtet hat als diejenigen, die von diesem Bundesgesetz vorgesehen sind, gelten die Regeln des Internationalen Vertrags.
Kapitel 2. Grundsätze und Bedingungen für die Verarbeitung personenbezogener Daten
Artikel 5. Grundsätze der personenbezogenen Datenverarbeitung (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Die Verarbeitung personenbezogener Daten sollte auf legitime und gerechte Basis durchgeführt werden.
2. Die Verarbeitung personenbezogener Daten sollten auf die Erreichung spezifischer, vorbestimmter und legitimer Zwecke beschränkt sein. Persönliche Daten sind nicht zulässig, nicht kompatibel mit persönlichen Datenerhebungen.
3. Es gibt keine Kombination von Datenbanken, die personenbezogene Daten enthalten, deren Verarbeitung für nicht kompatible Zwecke durchgeführt wird.
4. Nur personenbezogene Daten, die die Ziele ihrer Verarbeitung erfüllen, unterliegen der Verarbeitung.
5. Der Inhalt und der Betrag der verarbeiteten personenbezogenen Daten müssen den deklarierten Verarbeitungszielen entsprechen. Verarbeitete personenbezogene Daten dürfen nicht auf die angegebenen Ziele ihrer Verarbeitung überflüssig sein.
6. Bei der Verarbeitung personenbezogener Daten sollte die Genauigkeit personenbezogener Daten gewährleistet sein, ihre Sklarheit und in den erforderlichen Fällen und Relevanz in Bezug auf die Ziele der Verarbeitung personenbezogener Daten. Der Betreiber muss die erforderlichen Maßnahmen ergreifen, um entweder ihre Annahme zu gewährleisten, um unvollständige oder ungenaue Daten zu löschen oder zu klären.
7. Die Lagerung personenbezogener Daten sollte in einem Formular durchgeführt werden, um das Thema personenbezogener Daten zu bestimmen, nicht länger als der Zweck der Verarbeitung von personenbezogenen Daten, wenn die Haltbarkeit der personenbezogenen Daten nicht vom Bundesgesetz, dem Vertrag, der Partei errichtet wird deren Begünstigter oder der Garant, dessen personenbezogene Daten sind. Die verarbeiteten personenbezogenen Daten sind zu zerstören oder zu dämmen, um die Verarbeitungsziele zu erreichen, oder im Falle eines Verlusts der Notwendigkeit, diese Ziele zu erreichen, sofern nicht anderweitig vom Bundesgesetz vorliegt.
Artikel 6. Bedingungen für die personenbezogene Datenverarbeitung (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Die Verarbeitung personenbezogener Daten sollte in Übereinstimmung mit den Grundsätzen und Vorschriften durch dieses Bundesgesetz durchgeführt werden. Verarbeitung personenbezogener Daten sind in den folgenden Fällen zulässig:
1) Die Verarbeitung personenbezogener Daten erfolgt mit der Zustimmung des Antrags personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten;
2) Die Verarbeitung personenbezogener Daten ist notwendig, um die von der internationalen Vereinbarung der Russischen Föderation oder des Gesetzes vorgesehenen Ziele zu erreichen, um die Gesetze der Russischen Föderation auf dem Betreiber von Funktionen, Befugnisse und Verantwortlichkeiten umzusetzen und umzusetzen;
3) Die Verarbeitung personenbezogener Daten erfolgt im Zusammenhang mit der Beteiligung einer Person in konstitutionellen, zivilen, administrativen, strafrechtlichen Verfahren, rechtlichen Verfahren in Schiedsgerichten; (in der geänderten Bundesgesetz vom 29. Juli 2017 N 223-FZ)
3.1) Die Verarbeitung personenbezogener Daten ist für die Ausführung eines Gerichtsakts erforderlich, der Akt eines anderen Körpers oder eines Beamten, der gemäß den Rechtsvorschriften der Russischen Föderation auf Vollstreckungsverfahren (nachstehend - die Ausführung der Justizgesetz) ausgeführt wird; (in der geänderten Bundesgesetz vom 29. Juli 2017 N 223-FZ)
4) Die Verarbeitung personenbezogener Daten ist für die Durchführung von Befugnissen von Bundeskörpern, staatlichen Extrabudgets-Fondsbehörden, den Führungskräften des Staates der Bestandsorganisation der Russischen Föderation, der lokalen Regierung und der Funktionen von Organisationen, die an der Erbringung von beteiligt sind, notwendig staatliche und kommunale Dienstleistungen, die vom Bundesgesetz vom 27. Juli 2010 des Jahres n 210-Fz "zur Organisation der Erbringung der staatlichen und kommunalen Dienstleistungen vorgesehen sind, einschließlich der Registrierung des Themas personenbezogener Daten auf ein einziges Portal des Staates und kommunale Dienstleistungen und (oder) regionale Portale von staatlichen und kommunalen Dienstleistungen; (in der geänderten Bundesgesetz vom 04.05.2013 N 43-FZ)
5) Die Verarbeitung personenbezogener Daten ist notwendig für die Durchführung des Vertrags, der Partei, deren Partei entweder mit dem Begünstigten oder dem Garantie der personenbezogenen Daten ist und eine Vereinbarung über die Initiative des Themas des Themas abgeschlossen ist personenbezogene Daten oder Vertrag, in der die personenbezogene Dateneinheit ein Begünstigter oder ein Bürghof sein wird; (in der geänderten Bundesgesetze von 21.12.2013 N 363-Fz, ab 03.07.2016 N 231-FZ)
6) Die Verarbeitung personenbezogener Daten ist notwendig, um das Leben, die Gesundheit oder andere wichtige Interessen des Subjekts personenbezogener Daten zu schützen, wenn er die Zustimmung des Subjekts personenbezogener Daten nicht möglich ist;
7) Die Verarbeitung personenbezogener Daten ist für die Rechte und legitime Interessen des Betreibers oder Dritten erforderlich, einschließlich der vom Bundesgesetz festgelegten Fällen "zum Schutz der Rechte und rechtlichen Interessen der Einzelpersonen bei der Umsetzung von Tätigkeiten zur Rücksendung von überfälligen Schulden und zur Änderung des Bundesgesetzes "über Mikrofinanzaktivitäten und Mikrofinanzierungsorganisationen" oder, um sozial erhebliche Ziele zu erreichen, sofern die Rechte und Freiheiten des Themas personenbezogener Daten nicht verletzt werden; (in geänderter Bundesgesetz vom 07.03.2016 N 231-FZ)
8) Die Verarbeitung personenbezogener Daten ist für die Umsetzung der beruflichen Aktivitäten des Journalisten und (oder) legitimen Aktivitäten der Medien- oder wissenschaftlichen, literarischen oder anderen kreativen Aktivitäten erforderlich, sofern die Rechte und legitimen Interessen der personenbezogenen Daten eingehen nicht verletzt;
9) Die Verarbeitung personenbezogener Daten erfolgt in statistischen oder anderen Forschungszwecken, mit Ausnahme der in diesem Bundesgesetz festgelegten Treffer, die in einem obligatorischen Verbrauch personenbezogener Daten unterliegen;
10) Die Verarbeitung personenbezogener Daten erfolgt, der Zugriff eines unbegrenzten Sortiments von Personen, an das anhand personenbezogener Daten oder auf seiner Anfrage (nachstehend - personenbezogene Daten des öffentlich zuständischen Themas personenbezogener Daten) zur Verfügung gestellt wird;
11) Die Verarbeitung von personenbezogenen Daten, die veröffentlicht werden soll, oder obligatorische Offenlegung gemäß dem Bundesgesetz erfolgt.
1.1. Die Verarbeitung personenbezogener Daten der staatlichen Schutzeinrichtungen und deren Familienmitglieder erfolgt unter Berücksichtigung der vom Bundesgesetz vom 27. Mai 1996 n 57-fz vorgesehenen Funktionen des Bundesschutzes. (wie vom Bundesgesetz von 01.07.2017 n 148-fz)
3. Der Betreiber hat das Recht, die Verarbeitung personenbezogener Daten an eine andere Person mit Zustimmung der personenbezogenen Daten anvertrauen, sofern nicht anderweitig vom Bundesgesetz, auf der Grundlage des mit dieser Person abgeschlossenen Vertrags, einschließlich des Staates oder der Kommunal Vertrag oder durch Annahme einer staatlichen oder kommunalen Behörde des betreffenden Handlung (nachstehend - Bedienerauftrag). Eine Person, die personenbezogene Daten zu den Anweisungen des Betreibers durchführt, muss den Grundsätzen und Regeln für die Verarbeitung personenbezogener Daten gemäß diesem Bundesgesetz eingehalten werden. In den Anweisungen des Bedieners sollten eine Liste von Maßnahmen (Operationen) mit personenbezogenen Daten identifiziert werden, die von der Verarbeitung personenbezogener Daten begangen wird, und die Verarbeitung von Zielen sollten durch die Pflicht einer solchen Person festgelegt werden, um der Vertraulichkeit von zu folgen Persönliche Daten und sicherstellen, dass die Sicherheit personenbezogener Daten bei der Bearbeitung sowie Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten gemäß diesem Bundesgesetz festgelegt werden sollen.
4. Eine Person, die in der Verarbeitung personenbezogener Daten zu den Anweisungen des Betreibers beteiligt ist, ist nicht erforderlich, um die Zustimmung des Antrags personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten zu erhalten.
5. Falls der Bediener die Verarbeitung personenbezogener Daten an eine andere Person anweist, trägt der Betreiber die Verantwortung für das Thema personenbezogener Daten für die Aktionen der angegebenen Person. Eine Person, die personenbezogene Daten zu den Anweisungen des Bedieners durchführt, ist dem Bediener verantwortlich.
Artikel 7. Vertraulichkeit der persönlichen Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Betreiber und andere Personen, die Zugang zu personenbezogenen Daten erhalten haben, ist verpflichtet, den Dritten nicht offenzulegen und keine personenbezogenen Daten ohne Zustimmung der personenbezogenen Daten zu verbreiten, sofern nicht anderweitig vom Bundesrecht angeboten wird. "
Artikel 8. Öffentliche Quellen personenbezogener Daten
1. Für Informationssicherheitszwecke können öffentlich verfügbare Quellen personenbezogener Daten erstellt werden (einschließlich Referenzbücher, Adressbücher). In öffentlich zugänglichen Quellen personenbezogener Daten mit schriftlicher Zustimmung des Antrags von personenbezogenen Daten, seinem Nachnamen, des Namens, des Patronismus, des Jahres und des Geburtsorts, der Adresse, der Teilnehmernummer, der Berufsinformation und anderer personenbezogener Daten, die von dem Thema personenbezogene Daten berichtet werden, können aufgenommen werden. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
2. Die Informationen zum Thema personenbezogener Daten sollten jederzeit aus öffentlich zugänglichen personenbezogenen Quellen personenbezogener Daten auf Ersuchen des Themas von personenbezogenen Daten oder mit Entscheidung des Gerichts oder anderer autorisierter Staatsorgane ausgeschlossen werden. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Artikel 9. Die Zustimmung des Themas personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Das Thema personenbezogener Daten entscheidet über die Bereitstellung seiner personenbezogenen Daten und erklärt sich damit einverstanden, sie von seinem Willen und in seinem Interesse frei zu verarbeiten. Die Zustimmung zur Verarbeitung personenbezogener Daten sollte konkret, informiert und bewusst sein. Die Zustimmung zur Verarbeitung personenbezogener Daten kann durch das Thema personenbezogener Daten oder seines Vertreters einverstanden sein, um die Tatsache seiner Vorbereitung zu bestätigen, sofern nicht anderweitig vom Bundesgesetz festgelegt wird. Bei der Erzielung der Zustimmung zur Verarbeitung personenbezogener Daten aus dem Vertreter des Themas personenbezogener Daten werden die Befugnisse dieses Vertreters für die Vereinbarung des Landes im Auftrag der personenbezogenen Daten vom Betreiber überprüft.
2. Zustimmung zur Verarbeitung personenbezogener Daten kann durch das Thema personenbezogener Daten zurückgezogen werden. Bei der Erhebung von personenbezogenen Daten zur Verarbeitung personenbezogener Daten ist der Betreiber berechtigt, personenbezogene Daten ohne Zustimmung der personenbezogenen Daten in Anwesenheit der in den Absätzen 1 des Artikels 6, Artikel 10 und Artikel 11 festgelegten Angaben zu verarbeiten dieses Bundesgesetzes.
3. Die Pflicht, den Nachweis zur Erlangung der Zustimmung des Themas personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten oder des Nachweiss der Anwesenheit der in Absatz 1 von Artikel 6 Absatz 1 angegebenen Anwesenheit zu bieten. Artikel 10 und Artikel 11 dieses Bundesgesetzes dem Bediener zugewiesen werden.
4. In Fällen, die vom Bundesgesetz festgelegt sind, erfolgt die personenbezogene Datenverarbeitung nur mit der Zustimmung, um das Thema personenbezogener Daten zu schreiben. Um das persönliche Personal, das das Personal des Themas von personenbezogenen Daten enthält, entspricht, wird die Zustimmung zum Schreiben auf Papier als Vereinbarung in Form eines elektronischen Dokuments erfasst, das gemäß dem Bundesgesetz einer elektronischen Unterschrift unterzeichnet wird. Zustimmung schriftlich sollte das Thema personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten enthalten, insbesondere:
1) Nachname, Vorname, Patronymie, Adresse der personenbezogenen Datenentität, die Anzahl der Hauptdokument, die seine Persönlichkeit, Informationen zum Datum der Ausgabe des angegebenen Dokuments bestätigt und von der Behörde ausgestellt wurde;
2) Nachname, Name, Patronym, Adresse des Vertreters des Personals des personenbezogenen Betreffs, die Anzahl der Hauptdokument, die seine Persönlichkeit, Informationen über das Datum der Ausgabe des angegebenen Dokuments bestätigt und seine Behörde, Details einer Anwaltskraft oder anderes Dokument, das die Befugnisse dieses Vertreters bestätigt (nach Erhalt der Zustimmung des Vertreters des Themas Personaldaten);
3) Name oder Nachname, Name, Patronymie und Adresse des Betreibers, der die Zustimmung des Themas personenbezogener Daten erhält;
4) der Zweck der Verarbeitung personenbezogener Daten;
5) eine Liste der personenbezogenen Daten, auf deren Verarbeitung die Zustimmung des Themas personenbezogener Daten ist;
6) Name oder Nachname, Name, Patronymie und Adresse der Person, die personenbezogene Daten zu den Anweisungen des Bedieners abwickeln, wenn die Verarbeitung einer solchen Person zugeordnet ist;
7) Eine Liste von Handlungen mit personenbezogenen Daten, deren Kommission einverstanden ist, ist die allgemeine Beschreibung des Betreibers der Methoden der Verarbeitung personenbezogener Daten angegeben;
8) der Zeitraum, in dem die Zustimmung des Themas personenbezogener Daten anwendbar ist, sowie die Methode seines Widerrufs, sofern nicht anders vom Bundesgesetz festgelegt ist;
9) Unterschrift des Subjekts personenbezogener Daten.
5. Das Verfahren zur Erlangung eines elektronischen Dokuments zustimmender personenbezogener Daten über die Verarbeitung ihrer personenbezogenen Daten, um staatliche und kommunale Dienstleistungen sowie Dienstleistungen, die für die Bereitstellung von staatlichen und kommunalen Dienstleistungen erforderlich und obligatorisch sind, wird von der Regierung der Russischen Föderation festgelegt.
6. Im Falle einer Arbeitsunfähigkeit für das Thema personenbezogener Daten ergibt sich die Zustimmung zur Verarbeitung seiner personenbezogenen Daten einen rechtlichen Vertreter des Themas personenbezogener Daten.
7. Im Falle des Todes des Themas personenbezogener Daten ergibt sich die Zustimmung zur Verarbeitung seiner personenbezogenen Daten den Erben des Themas personenbezogener Daten, wenn eine solche Einwilligung nicht dem Thema personenbezogener Daten während seines Lebens gegeben wurde.
8. Persönliche Daten können von einem Betreiber im Namen einer Person erhalten werden, die nicht personenbezogene Daten unterliegt, unterliegt der Bestätigung der Bestätigung auf das Vorhandensein der in den Absätzen 1 des Artikels 6, Artikel 10 und Artikel 11 dessen Bundesgesetz.
Artikel 10. Spezielle personenbezogene Datenkategorien
1. Die Verarbeitung von speziellen Kategorien personenbezogener Daten in Bezug auf rassistische, nationale Zugehörigkeit, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, intimes Leben ist nicht zulässig, außer in Fällen, die in Absatz 2 dieses Artikels vorgesehen sind.
2. Die in Absatz 1 dieses Artikels der speziellen Kategorien von persönlichen Daten angegebenen Verarbeitung ist in Fällen, in denen:
1) Gegenstand der personenbezogenen Daten, die der Verarbeitung seiner personenbezogenen Daten schriftlich vereinbart wurden;
2) Persönliche Daten wurden durch das öffentlich zuständige Thema personenbezogener Daten erstellt. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
2.1) Die Verarbeitung personenbezogener Daten ist im Zusammenhang mit der Umsetzung internationaler Verträge der Russischen Föderation zur Rückübernahme erforderlich. (wie geändert vom Bundesgesetz von 25.11.2009 N 266-FZ)
2.2) Die Verarbeitung personenbezogener Daten erfolgt gemäß dem Bundesgesetz vom 25. Januar 2002 n 8-fz "auf all-russischen Volkszählung"; (in der geänderten Bundesgesetz vom 27. Juli 2010 N 204-FZ)
2.3) Die Verarbeitung personenbezogener Daten erfolgt gemäß den Rechtsvorschriften über staatliche Sozialhilfen, Arbeitsvorschriften, Rentenvorgaben der Russischen Föderation; (in der geänderten Bundesgesetze vom 07.07.2011 N 261-Fz, ab 07.21.2014 N 216-FZ)
3) Die Verarbeitung personenbezogener Daten ist notwendig, um das Leben, die Gesundheit oder andere wichtige Interessen des Themas von personenbezogenen Daten oder dem Leben, der Gesundheit oder anderer wichtiger Interessen anderer Personen zu schützen und die Zustimmung des Themas der personenbezogenen Daten zu erhalten, ist unmöglich. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
4) Die Verarbeitung personenbezogener Daten erfolgt in medizinischen und präventiven Zwecken, um eine medizinische Diagnose, die Bereitstellung von medizinischen und medizinischen Diensten, sofern die Verarbeitung personenbezogener Daten von einer Person, die professionell an medizinischen Aktivitäten beteiligt ist, ermittelt wird ist in Übereinstimmung mit der Rechtsvorschriften der Russischen Föderation verpflichtet, ein medizinisches Geheimnis aufrechtzuerhalten;
5) Die Verarbeitung personenbezogener Daten der Mitglieder (Teilnehmer) eines öffentlichen Zusammenhangs oder einer religiösen Organisation erfolgt von der einschlägigen öffentlichen Vereinigung oder einer religiösen Organisation, die in Übereinstimmung mit der Rechtsvorschriften der Russischen Föderation tätig ist, um die rechtlichen Ziele zu erreichen konstituierende Dokumente, vorausgesetzt, dass personenbezogene Daten nicht ohne Zustimmung in der Schreibunterstützung personenbezogener Daten verteilt werden;
6) Die Verarbeitung personenbezogener Daten ist notwendig, um die Rechte des Themas von personenbezogenen Daten oder Dritten sowie im Zusammenhang mit der Umsetzung der Gerechtigkeit festzulegen oder umzusetzen; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
7) Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit den Rechtsvorschriften der Russischen Föderation zur Verteidigung, der Sicherheit, in Bezug auf den Terrorismus, der Transportsicherheit, zur Bekämpfung der Korruption, auf die operativen Untersuchungsaktivitäten, auf die Exekutivarbeit, das Strafrecht von Die Russische Föderation; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
7.1) Die Verarbeitung von personenbezogenen Daten, die in der in der Rechtsvorschriften festgelegten Russischen Föderation erhielt, wird von den Staatsanwaltschaftsbehörden im Zusammenhang mit der Umsetzung der Überwachung des Anklägers durchgeführt. (in der geänderten Bundesgesetz vom 23. Juli 2013 N 205-FZ)
8) Die Verarbeitung personenbezogener Daten erfolgt gemäß den Rechtsvorschriften über verbindliche Versicherungsarten mit Versicherungsvorschriften; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
9) Die Verarbeitung personenbezogener Daten erfolgt in Fällen, die von den Rechtsvorschriften der Russischen Föderation, Regierungsbehörden, kommunalen Stellen oder Organisationen für den Zweck des Geräts von Kindern ohne elterliche Betreuung vorgesehen sind, um die Familie der Bürger zu erhöhen; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
10) Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit der Rechtsvorschriften der Russischen Föderation zur Staatsbürgerschaft der Russischen Föderation. (in der geänderten Bundesgesetz von 04.06.2014 N 142-FZ)
3. Die Verarbeitung personenbezogener Daten über Strafregister kann von Regierungsbehörden oder kommunalen Behörden innerhalb der Behörde erfolgen, die von ihm gemäß den Rechtsvorschriften der Russischen Föderation sowie andere Personen in Fällen und in der festgelegten Weise ermittelt werden Übereinstimmung mit den Bundesgesetzen.
4. Die Verarbeitung von speziellen Kategorien personenbezogener Daten, die in den von den Teilen 2 und 3 dieses Artikels bereitgestellten personenbezogenen Daten durchgeführt werden, sollte sofort eingestellt werden, wenn die Gründe beseitigt wurden, wodurch die Verarbeitung durchgeführt wurde, wenn sonst nicht ergriffen wurde Bundesgesetz. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Artikel 11. Biometrische personenbezogene Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Informationen, die die physiologischen und biologischen Merkmale einer Person kennzeichnen, auf deren Grundlage es möglich ist, seine Identität (biometrische personenbezogene Daten) aufzubauen, und die vom Bediener verwendet werden, um die Persönlichkeit der personenbezogenen Daten zu ermitteln, kann verarbeitet werden Nur wenn eine Vereinbarung in der schriftlichen Form des Themas personenbezogener Daten vorliegt, mit den von Teil 2 dieses Artikels bereitgestellten Ausnahmefällen.
2. Die Verarbeitung biometrischer personenbezogener Daten kann ohne Zustimmung des Themas von personenbezogenen Daten im Zusammenhang mit der Umsetzung internationaler Verträge der Russischen Föderation auf der Rückübernahme im Zusammenhang mit der Umsetzung der Gerechtigkeit und der Durchführung von gerichtlichen Rechtsakten durchgeführt werden, sowie in Fällen, die durch die Rechtsvorschriften der Russischen Föderation zur Verteidigung vorgesehen sind, über die Sicherheit, die Terrorismus, die Transportsicherheit, die Korruption, auf operative Untersuchungsaktivitäten, öffentlicher Dienst, kriminelle und exekutive Rechtsvorschriften der Russischen Föderation, der Gesetzgebung der Russische Föderation über das Verfahren zur Abreise von der Russischen Föderation und dem Einstieg in die Russische Föderation zur Staatsbürgerschaft der Russischen Föderation. (in der geänderten Bundesgesetz von 04.06.2014 N 142-FZ)
Artikel 12. Übertragung von personenbezogenen Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. grenzübergreifende Übertragung personenbezogener Daten auf das Territorium der ausländischen Länder, das den Vertragsparteien des Europarates über den Schutz von Einzelpersonen mit der automatisierten Verarbeitung von personenbezogenen Daten sowie anderen ausländischen Ländern, die einen angemessenen Schutz der Rechte von Personal gewährleisten Datenentitäten, erfolgt gemäß diesem Bundesgesetz und können verboten oder beschränkt sein, um die Grundlagen des Verfassungssystems der Russischen Föderation, der Moral, der Gesundheit, der Rechte und legitimen Interessen der Bürger zu schützen, um die Verteidigung der Land und die Sicherheit des Staates.
2. Die autorisierte Stelle für den Schutz der Rechte personenbezogener Daten billigt eine Liste von ausländischen Ländern, die nicht zu den Vertragsparteien des Europarates des Europarates über den Schutz von Einzelpersonen mit der automatisierten Verarbeitung von personenbezogenen Daten sind und einen angemessenen Schutz der Rechte gewährleistet von Personeneinheiten. Der Staat, der kein Partei des Europas des Europarates über den Schutz von Individuen mit der automatisierten Verarbeitung personenbezogener Daten ist, kann in die Liste der ausländischen Länder einbezogen werden, die einen angemessenen Schutz der Rechte personenbezogener Daten gewährleisten, vorbehaltlich der Einhaltung der Bestimmungen dieses Übereinkommens in Übereinstimmung mit dem einschlägigen Rechtsstand und die angewandten Sicherheitsmaßnahmen personenbezogene Daten.
3. Der Betreiber ist verpflichtet, sicherzustellen, dass ein ausländischer Staat das Territorium, in dem die Übertragung von personenbezogenen Daten durchgeführt wird, vor der Implementierung der grenzüberschreitenden Übertragung ein ausreichender Schutz der Rechte der personenbezogenen Daten gewährleistet ist von personenbezogenen Daten.
4. Hantelnder Übertragung personenbezogener Daten auf das Territorium der ausländischen Länder, die nicht sicherstellen, dass ein angemessener Schutz der Rechte personenbezogener Daten von Personen angemeldet werden kann, kann in Fällen durchgeführt werden:
1) Die Verfügbarkeit der Zustimmung schriftlich das Thema personenbezogener Daten zur grenzüberschreitenden Übermittlung seiner personenbezogenen Daten;
2) von internationalen Verträgen der Russischen Föderation festgelegt;
3) ggf. durch Bundesgesetze vorgesehen, um die Grundlagen des Verfassungssystems der Russischen Föderation zu schützen, um die Verteidigung des Landes und die Sicherheit des Staates sicherzustellen, sowie die Sicherheit der Sicherheit des nachhaltigen und sicheren Safe Funktionsweise des Transportkomplexes, der Schutz der Interessen der Person, der Gesellschaft und des Staates auf dem Gebiet des Transportkomplexes aus den Taten illegaler Interventionen;
4) Durchführung des Vertrags, deren Partei Gegenstand personenbezogener Daten ist;
5) Schutz des Lebens, Gesundheit, Andere wichtige Interessen des Themas von personenbezogenen Daten oder anderen Personen mit der Unmöglichkeit, die Zustimmung beim Schreiben der personenbezogenen Daten zu erwerben.
Artikel 13. Funktionen der Verarbeitung personenbezogener Daten in staatlichen oder kommunalen Informationssystemen personenbezogener Daten
1. Staatsorgane, kommunale Behörden schaffen innerhalb ihrer Befugnisse, die gemäß den Bundesgesetzen, staatlichen oder kommunalen Informationssystemen personenbezogener Daten festgelegt sind.
2. Fokale Gesetze können durch die Merkmale der personenbezogenen Daten in staatlichen und kommunalen Informationssystemen personenbezogener Daten eingerichtet werden, einschließlich der Verwendung verschiedener Wege, um personenbezogene Daten festzulegen, die im entsprechenden staatlichen oder kommunalen Informationssystem personenbezogener Daten, ein bestimmtes persönliches Dateneinheit.
3. Rechte und Freiheiten einer Person und Bürger können nicht auf die Motive beschränkt sein, die mit der Verwendung verschiedener Wege der Verarbeitung personenbezogener Daten oder Bezeichnungen personenbezogener Daten, die in staatlichen oder kommunalen Informationssystemen von personenbezogenen Daten enthalten sind, ein bestimmtes Thema Persönliches Daten. Die Verwendung von Beleidigungssenken von Bürgern oder demütigenden der Menschenwürde der Methoden der Bezeichnung von personenbezogenen Daten, die in staatlichen oder kommunalen Informationssystemen personenbezogener Daten enthalten sind, ein bestimmtes Thema personenbezogener Daten, ist nicht erlaubt.
4. Um die Realisierung der Rechte der Fächer personenbezogener Daten in Verbindung mit der Verarbeitung ihrer personenbezogenen Daten in staatlichen Informationssystemen personenbezogener Daten sicherzustellen, kann das Staatsregister der Bevölkerung erstellt werden, der rechtliche Status von Welches und das Verfahren für die Zusammenarbeit mit dem Bundesgesetz.
Kapitel 3. Personenbezogene Fachrechte
Artikel 14. Das Recht auf das Thema personenbezogener Daten für den Zugriff auf ihre personenbezogenen Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Die Hauptdatenentität hat das Recht, Informationen in Absatz 7 dieses Artikels zu erhalten, mit Ausnahme der in Absatz 8 dieses Artikels vorgesehenen Fällen. Das Thema personenbezogener Daten ist berechtigt, vom Betreiber von dem Bediener zu fordern, seine personenbezogenen Daten, ihre Sperren oder Zerstörung zu klären, wenn personenbezogene Daten unvollständig, veraltet, ungenau, illegal erhalten sind oder nicht für das erklärte Ziel der Verarbeitung erforderlich sind und nicht erforderlich sind ihre Rechte zum Schutz ihrer Rechte.
2. Die in Teil 7 dieses Artikels angegebenen Informationen sollten dem Betreff personenbezogener Daten des Betreibers in erschwinglicher Form bereitgestellt werden, und sie sollten keine personenbezogenen Daten enthalten, die sich auf andere persönliche Daten enthalten, außer wenn es Rechtsgründen für die Offenlegung solcher personenbezogener Daten.
3. Die in Absatz 7 dieses Artikels angegebenen Informationen werden dem Betreff personenbezogener Daten oder seines Vertreters vom Betreiber bei der Bewerbung oder nach Erhalt der Anfrage zum Thema personenbezogener Daten oder seines Vertreters angesetzt. Die Anforderung muss die Nummer des Hauptdokuments enthalten, das die Identität der Personaldateneinheit oder dessen repräsentativen Informationen zum Datum der Erteilung des angegebenen Dokuments und der ausgestellten Behörde, Informationen, Informationen, die die Beteiligung von personenbezogenen Daten in Beziehungen bestätigen, enthalten mit dem Betreiber (Vertragsnummer, dem Datum des Eintritts in den Vertrag, die bedingte mündliche Bezeichnung und (oder) andere Informationen) oder Informationen, ansonsten die Tatsache der Verarbeitung personenbezogener Daten des Bedieners, der Unterzeichnung des Themas von personenbezogenen Daten oder sein Vertreter. Die Anforderung kann in Form eines elektronischen Dokuments gesendet und gemäß den Rechtsvorschriften der Russischen Föderation von einer elektronischen Signatur unterzeichnet werden.
4. Falls die in Absatz 7 dieses Artikels festgelegten Informationen sowie die verarbeiteten personenbezogenen Daten erteilt wurden, um sich mit den personenbezogenen Daten auf seiner Anfrage vertraut zu machen, ist die personenbezogene Daten berechtigt, sich auf den Betreiber zu beziehen oder senden Sie ihm eine erneute Anforderung, Informationen, um Informationen zu erhalten, die in Teil 7 dieses Artikels angegeben sind, und sich mit solchen personenbezogenen Daten nicht früher als dreißig Tage nach der anfänglichen Umlauf oder Richtung der ursprünglichen Anforderung vertraut machen, falls eine kürzere Zeit nicht hergestellt wird Bundesgesetz, in Übereinstimmung mit der Regulierungsrechtsrechtsgesetz oder des Vertrags, dessen Partei entweder ein Begünstigter oder der Garant für das Thema personenbezogener Daten ist.
5. Persönliche Datenentität hat das Recht, sich auf den Bediener zu beziehen oder eine wiederholte Anforderung zu senden, um Informationen in Absatz 7 dieses Artikels zu erhalten und sich mit den verarbeiteten personenbezogenen Daten vor dem in Teil 4 dieses Artikels angegebenen Ablaufs vertraut zu machen , im Fall von Informationen und (oder) verarbeiteten personenbezogenen Daten wurden ihm nicht zur Verfügung gestellt, um sich mit den Ergebnissen der Prüfung der anfänglichen Zirkulation vollständig vertraut zu machen. Die Anfrage sollte zusammen mit den in Teil 3 dieses Artikels angegebenen Informationen eine Begrufung der Überweisungsrichtung enthalten.
6. Der Betreiber hat das Recht, das Thema personenbezogener Daten bei der Durchführung einer Neuanfrage abzulehnen, die den von den Teilen 4 und 5 dieses Artikels nicht vorgesehenen Bedingungen entspricht. Eine solche Ablehnung muss motiviert sein. Die Verpflichtung, Beweise für die Gültigkeit des Versagens bei der Ausführung einer erneuten Anforderung liegt, liegt auf dem Bediener.
7. Die personenbezogene Dateneinheit hat das Recht, Informationen in Bezug auf die Verarbeitung seiner personenbezogenen Daten zu erhalten, einschließlich:
1) Bestätigung der Tatsache der Bearbeitung personenbezogener Daten durch den Bediener;
2) Rechtsgrundlagen und persönliche Datenverarbeitungszwecke;
3) Tore und Bediener, die von den Methoden zur Verarbeitung personenbezogener Daten verwendet werden;
4) Name und Ort des Betreibers, Informationen über Personen (mit Ausnahme von Betreiberangestellten), die Zugang zu personenbezogenen Daten haben oder mit personenbezogenen Daten auf der Grundlage einer Vereinbarung mit dem Betreiber oder auf der Grundlage von das Bundesgesetz;
5) Verarbeitete personenbezogene Daten im Zusammenhang mit dem entsprechenden Thema personenbezogener Daten, die Quelle ihrer Vorbereitung, sofern nicht anders von solchen Daten eingereicht wird, dürfen kein Bundesgesetz ergeben.
6) das Timing der personenbezogenen Datenverarbeitung, einschließlich des Zeitpunkts ihrer Lagerung;
7) das Verfahren zur Durchführung von personenbezogenen Daten der in diesem Bundesgesetz vorgesehenen Rechte;
8) Informationen zur angeblichen grenzüberschreitenden Datenübertragung;
9) Name oder Nachname, Name, Patronyma und Adresse einer Person, die personenbezogene Daten in Bezug auf die Anweisungen des Bedieners behandelt, wenn die Verarbeitung anvertraut ist oder an eine solche Person in Rechnung gestellt wird;
10) Andere Informationen, die in diesem Bundesgesetz oder anderen Bundesgesetzen vorgesehen sind.
8. Das Recht auf das Thema personenbezogener Daten zum Zugang zu ihren personenbezogenen Daten kann in Übereinstimmung mit den Bundesgesetzen begrenzt sein, einschließlich:
1) Verarbeitung personenbezogener Daten, einschließlich personenbezogener Daten, die aufgrund von operativen Such-, Gegenkontaktierungs- und Intelligenzaktivitäten erhalten werden, wird durchgeführt, um das Land, die staatliche Sicherheit und die Strafverfolgung zu verteidigen;
2) Die Verarbeitung personenbezogener Daten erfolgt von den Körpern, die das Thema personenbezogener Daten auf den Verdacht auf ein Verbrechen erregten oder dem Thema personenbezogener Daten die Verfolgung des kriminellen Falls eingereicht haben oder an das Thema personenbezogener Daten an die Maßnahme angewandt werden der Zurückhaltung der Rückhaltesanwaltschaft, mit Ausnahme der Russischen Föderation, die durch das Gesetzgebung der Strafverfahren vorgesehen ist, wenn Sie den Verdächtigen mit solchen personenbezogenen Daten vertraut machen;
3) Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit den Rechtsvorschriften zur Bekämpfung der Legalisierung (Wäsche) des Einkommens des kriminellen und der Finanzierung des Terrorismus;
4) Der Zugang zum Thema personenbezogener Daten auf ihre personenbezogenen Daten verstößt gegen die Rechte und legitimen Interessen Dritter;
5) Die Verarbeitung personenbezogener Daten erfolgt in Fällen der Rechtsvorschriften der Russischen Föderation zur Transportsicherheit, um den nachhaltigen und sicheren Betrieb des Transportkomplexes, den Schutz der Interessen der Person, der Gesellschaft und des Staates zu gewährleisten auf dem Gebiet des Transportkomplexes aus den Taten illegaler Eingriffe.
Artikel 15. Die Rechte personenbezogener Datenunternehmen bei der Verarbeitung ihrer personenbezogenen Daten, um Waren, Arbeiten, Dienstleistungen auf dem Markt zu fördern, sowie für politische Erregung
1. Verarbeitung personenbezogener Daten, um Waren, Arbeiten, Dienstleistungen auf dem Markt zu fördern, indem direkte Kontakte mit einem potenziellen Verbraucher mit Hilfe von Kommunikationstools sowie für politische Agitationszwecke nur unter der Bedingung der vorläufigen Zustimmung der Persönliche Dateneinheit. Diese Verarbeitung von personenbezogenen Daten wird ohne vorherige Zustimmung des Antrags personenbezogener Daten erfasst, wenn der Betreiber nicht nachweist, dass diese Einwilligung erhalten wurde.
2. Der Betreiber ist verpflichtet, auf Antrag des Antrags der personenbezogenen Daten sofort zu kündigen, um ihre persönlichen Daten in Absatz 1 dieses Artikels festzulegen.
Artikel 16. Rechte der personenbezogenen Daten bei der Entscheidung auf der Grundlage der ausschließlich automatisierten Verarbeitung ihrer personenbezogenen Daten
1. Es ist verboten, auf der Grundlage der ausschließlich automatisierten Verarbeitung von personenbezogenen Datenlösungen angenommen zu werden, die rechtliche Auswirkungen über das Thema personenbezogener Daten erzielen oder anderweitig seine Rechte und legitimen Interessen betreffen, mit Ausnahme von Fällen, die nach Absatz 2 vorgesehen sind Artikel.
2. Die Entscheidung, die rechtliche Konsequenzen hinsichtlich des Subjekts personenbezogener Daten erzeugt oder anderweitig seine Rechte und legitime Interessen betrifft, kann auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner personenbezogenen Daten erfolgen, wenn eine Vereinbarung in der schriftlichen Form des Subjekts von personenbezogene Daten oder in Fällen von Bundesgesetzen. Festlegung von Maßnahmen zur Sicherstellung der Beachtung der Rechte und legitimen Interessen des Themas personenbezogener Daten.
3. Der Betreiber ist verpflichtet, das Thema personenbezogener Daten das Verfahren zur Entscheidung auf der Grundlage der ausschließlich automatisierten Verarbeitung seiner personenbezogenen Daten und der möglichen rechtlichen Konsequenzen einer solchen Entscheidung zu klären, um eine Möglichkeit zur Erklärung eines Einspruchs Eine Entscheidung sowie Klarstellung des Verfahrens zum Schutz des Themas personenbezogener Daten und legitimen Interessen.
4. Der Betreiber ist verpflichtet, den Einwand in Teil 3 dieses Artikels für dreißig Tage ab dem Datum seines Erhalts in Betracht zu ziehen und das Thema personenbezogener Daten über die Ergebnisse der Berücksichtigung eines solchen Einwands zu informieren. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Artikel 17. Das Recht auf Abrechnungsaktionen oder Inaktivierer
1. Wenn der Betreff personenbezogener Daten der Auffassung ist, dass der Betreiber seine personenbezogenen Daten mit Verletzung der Anforderungen dieses Bundesgesetzes verarbeitet oder anderweitig gegen seine Rechte und Freiheiten verstößt, ist das Thema personenbezogener Daten berechtigt, gegen die Handlungen oder Inaktiven des Bedieners einzulegen an den autorisierten Körper, um die Rechte der Personaldaten oder in der Verhandlung zu schützen.
2. Das Thema personenbezogener Daten ist berechtigt, ihre Rechte und legitimen Interessen zu schützen, einschließlich des Schadens und (oder) Entschädigung für moralische Schäden vor Gericht.
Kapitel 4. Verantwortlichkeiten des Bedieners
Artikel 18. Pflichten des Betreibers beim Sammeln personenbezogener Daten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Bei der Sammlung personenbezogener Daten ist der Betreiber verpflichtet, das Thema personenbezogener Daten auf seinen Antragsinformationen für Artikel 14 dieses Bundesgesetzes bereitzustellen.
2. Wenn die Bereitstellung personenbezogener Daten gemäß dem Bundesgesetz zwingend ist, ist der Betreiber verpflichtet, das Thema personenbezogener Daten zu klären. Rechtliche Auswirkungen der Ablehnung, um ihre personenbezogenen Daten bereitzustellen.
3. Wenn personenbezogene Daten nicht aus dem Thema personenbezogener Daten, dem Betreiber, mit Ausnahme der von Teil 4 dieses Artikels bereitgestellten Fällen empfangen werden, bevor die Verarbeitung solcher personenbezogener Daten das Thema personenbezogene Daten zur Verfügung stellt, die folgenden Informationen :
1) Name oder Nachname, Name, Patronym- und Betreiberadresse oder sein Vertreter;
2) der Zweck der Verarbeitung personenbezogener Daten und ihrer Rechtsgrundlage;
3) bestimmte Benutzer von personenbezogenen Daten;
4) das Recht auf das Thema personenbezogener Daten, die von diesem Bundesgesetz festgelegt wurden;
5) eine Quelle personenbezogener Daten.
4. Der Betreiber ist von der Verpflichtung befreit, ein Thema von personenbezogenen Dateninformationen bereitzustellen, die von Teil 3 dieses Artikels vorgesehen sind, in denen:
1) Das Thema personenbezogener Daten wird über die Implementierung seiner personenbezogenen Daten an den jeweiligen Bediener informiert.
2) Persönliche Daten wurden vom Betreiber auf der Grundlage des Bundesgesetzes oder im Zusammenhang mit der Durchführung des Vertrags erhalten, deren Partei entweder mit dem Begünstigten oder dem Garantiegeber für ein persönliches Dateneintritt ist;
3) Persönliche Daten wurden durch das öffentlich zuständige Thema personenbezogener Daten erstellt oder aus einer öffentlichen Quelle erhalten;
4) Der Bediener handhabt personenbezogene Daten für statistische oder andere Forschungsziele, um berufliche Aktivitäten von Journalisten oder wissenschaftlichen, literarischen oder anderen kreativen Aktivitäten durchzuführen, wenn die Rechte und legitimen Interessen des Themas personenbezogener Daten nicht verletzt werden;
5) Das Thema personenbezogener Daten von Informationen, die von Teil 3 dieses Artikels vorgesehen sind, verstößt gegen die Rechte und legitimen Interessen Dritter.
5. Beim Sammeln personenbezogener Daten, einschließlich des Internet-Informations- und Telekommunikationsnetzes, ist der Betreiber verpflichtet, Aufnahme, Systematisierung, Akkumulation, Lagerung, Verfeinerung (Aktualisierung, Änderung) bereitzustellen, indem er personenbezogene Daten von Bürgern der Russischen Föderation mit den Datenbanken an Territorien der Russischen Föderation, mit Ausnahme der in Abschnitte angegebenen Fälle ,, um Artikel 6 dieses Bundesgesetzes. (in der geänderten Bundesgesetz vom 21. Juli 2014 N 242-FZ)
Artikel 18.1. Maßnahmen zur Gewährleistung der Erfüllung des Betreibers der von diesem Bundesgesetz festgelegten Pflichten (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Der Betreiber ist verpflichtet, Maßnahmen erforderlich und ausreichend zu sein, um die Erfüllung der Erfüllung der von diesem Bundesgesetz vorgesehenen Pflichten sicherzustellen und nach IT-regulatorischen Rechtsakten angenommen zu werden. Der Betreiber bestimmt unabhängig voneinander die Zusammensetzung und die Liste der erforderlichen Maßnahmen und ausreichend, um die Erfüllung der von diesem Bundesrecht festgelegten Pflichten zu gewährleisten und durch regulatorische Rechtsakte in Übereinstimmung mit der Regulierungsrechtsakte angenommen, sofern dies nicht anderweitig von diesem Bundesgesetz oder anderen Bundesgesetzen bereitgestellt wird. Diese Maßnahmen können insbesondere in Bezug auf:
1) Der Termin des Betreibers, der eine juristische Person ist, die für die Organisation der personenbezogenen Datenverarbeitung zuständig ist;
2) Die Ausgabe des Betreibers, einer juristischen Person, Dokumente, die die Politik des Betreibers bezüglich der Verarbeitung personenbezogener Daten, lokale Handlungen auf die personenbezogene Daten, sowie lokale Handlungen, die Verfahren einrichten, um Verstöße gegen Verhütung und Identifizierung von Verstößen zu ermitteln die Gesetzgebung der Russischen Föderation, die die Folgen solcher Verstöße beseitigte;
3) die Anwendung rechtlicher, organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten gemäß diesem Bundesgesetz;
4) die Umsetzung der internen Kontrolle und (oder) Prüfung der Einhaltung der Verarbeitung von personenbezogenen Daten auf dieses Bundesrecht und gemäß diesen regulatorischen Rechtsakten, den Anforderungen an den Schutz personenbezogener Daten, der Bedienerpolitik zur Verarbeitung von Persönliche Daten, die lokalen Taten des Betreibers;
5) Die Beurteilung von Schaden, die durch die Themen personenbezogener Daten im Falle einer Verletzung dieses Bundesgesetzes verursacht werden kann, das Verhältnis des festgelegten Schadens und der vom Betreiber ergriffenen Maßnahmen zur Gewährleistung der Erfüllung der zur Verfügung gestellten Verpflichtungen für dieses Bundesgesetz;
6) Einführung von Mitarbeitern des Betreibers, die direkt die personenbezogene Datenverarbeitung durchführen, mit den Bestimmungen der Rechtsvorschriften der Russischen Föderation auf personenbezogene Daten, einschließlich der Anforderungen an den persönlichen Datenschutz, Dokumente, die die Politik des Betreibers bezüglich der personenbezogenen Datenverarbeitung definieren, Lokale Handlungen auf die personenbezogene Datenverarbeitung und (oder) lernen diese Mitarbeiter.
2. Der Betreiber ist verpflichtet, einen unbegrenzten Zugriff auf das Dokument auf das Dokument zu veröffentlichen oder anderweitig sicherzustellen, der seine politische Verarbeitung definiert, Informationen über die Anforderungen an den Schutz personenbezogener Daten. Der Bediener sammelt personenbezogene Daten mit Informations- und Telekommunikationsnetzwerken, um in den relevanten Informationen und Telekommunikationsnetzwerk ein Dokument zu veröffentlichen, das seine personenbezogene Datenverarbeitungsrichtlinie definiert, sowie Informationen über die Anforderungen an den Schutz personenbezogener Daten sowie die Fähigkeit zur Verfügung Zugriff auf das angegebene Dokument. Verwenden des relevanten Informations- und Telekommunikationsnetzwerks.
3. Die Regierung der Russischen Föderation schafft eine Liste von Maßnahmen, die darauf abzielen, die Erfüllung der von diesem Bundesrecht vorgesehenen Verpflichtungen durch regulatorische Rechtsakte, Bediener, die staatliche oder kommunale Behörden sind, sicherzustellen.
4. Der Betreiber ist verpflichtet, Dokumente und lokale Taten, die in Teil 1 dieses Artikels angegeben sind, vorzunehmen, und (oder) bestätigen ansonsten die Annahme der in Absatz 1 dieses Artikels festgelegten Maßnahmen auf Ersuchen des autorisierten Körpers, um die Rechte von zu schützen Persönliche Dateneinheiten.
Artikel 19. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten, wenn sie verarbeitet werden (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Der Betreiber in der Verarbeitung personenbezogener Daten ist verpflichtet, die notwendigen rechtlichen, organisatorischen und technischen Maßnahmen zu ergreifen oder ihre Annahme sicherzustellen, um personenbezogene Daten vor rechtswidrigen oder zufälligen Zugang, Zerstörung, Änderungen, Blockieren, Kopieren, Bereitstellen, Verteilen von personenbezogenen Daten zu schützen als andere rechtswidrige Aktionen für personenbezogene Daten.
2. Sicherstellung der Sicherheit personenbezogener Daten wird insbesondere erreicht:
1) Durch Bestimmen der Bedrohungen der Sicherheit personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten verarbeitet werden;
2) die Verwendung organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten, wenn sie in den Informationssystemen der personenbezogenen Daten verarbeitet werden, die zur Erfüllung der Anforderungen an den Schutz personenbezogener Daten erforderlich sind, die Durchführung von personenbezogenen Daten der Regierung der Russische Föderation;
3) die Verwendung des Verfahrens zur Beurteilung der Übereinstimmung der Informationsschutzwerkzeuge in der vorgeschriebenen Weise;
4) Beurteilung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten vor der Inbetriebnahme des personenbezogenen Dateninformationssystems;
5) Berücksichtigung von Maschinenträgern personenbezogener Daten;
6) Erkennen der Fakten des nicht autorisierten Zugriffs auf personenbezogene Daten und die Annahme von Maßnahmen;
7) Wiederherstellen von personenbezogenen Daten, die aufgrund von nicht autorisierten Zugriff auf sie modifiziert oder zerstört wurden;
8) Festlegung von Zugriffsregeln auf personenbezogene Daten, die im personenbezogenen Dateninformationssystem verarbeitet werden, sowie die Registrierung und Rechnungslegung aller mit personenbezogenen Daten in das personenbezogene Dateninformationssystem gewährleisten;
9) Kontrolle über die Sicherheitsmaßnahmen, um die Sicherheit personenbezogener Daten und das Sicherheitsniveau der Informationssysteme personenbezogener Daten zu gewährleisten.
3. Die Regierung der Russischen Föderation unter Berücksichtigung des möglichen Schadens des Betreffens personenbezogener Daten, Volumen und Inhalt der verarbeiteten personenbezogenen Daten, der Art der Tätigkeit, in der Umsetzung, deren personenbezogene Daten verarbeitet werden, ist die Relevanz von Bedrohungen auf die Sicherheit personenbezogener Daten:
1) Sicherheitsniveaus personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten verarbeitet werden, abhängig von den Bedrohungen der Sicherheit dieser Daten;
2) Anforderungen an den Schutz personenbezogener Daten Bei der Verarbeitung in Informationssystemen personenbezogener Daten gewährleistet die Ausführung die festgelegte Maßnahmen der persönlichen Datensicherheit;
3) Anforderungen an Materialträger biometrische personenbezogene Daten und Speichertechnologien solcher Daten außerhalb von Informationssystemen personenbezogener Daten.
4. Zusammensetzung und Inhalt der Anforderungen der von der Regierung der Russischen Föderation festgelegten Regierung gemäß Teil 3 dieser Artikelanforderungen für den Schutz personenbezogener Daten für jedes der Sicherheits-, organisatorischen und technischen Maßnahmen, um sicherzustellen Die Sicherheit personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten verarbeitet werden, werden vom Bundeskörper eingerichtet. Die in der Sicherheit genehmigte Exekutivbehörde, die im Bereich der Sicherheit genehmigt wurde, und die im Bereich der technische Erkundung und den technischen Schutz von Informationen genehmigte Bundesberechtigungsbehörde innerhalb ihrer Kräfte.
5. Die Bundesleitzahlen, die die Funktionen der staatlichen Politik und der regulatorischen Regulierung im etablierten Tätigkeitsbereich, den staatlichen Behörden der staatlichen Unternehmen der Russischen Föderation, der Bank Russlands, der Organe der staatlichen Extrabudgets, anderer Regierungsbehörden, durchführen Innerhalb ihrer Befugnisse ergreifen regulatorische Rechtsakte, in denen die Sicherheitsbedrohungen durch die Sicherheit personenbezogener Daten bestimmt werden, die bei der Verarbeitung personenbezogener Daten in den Informationssystemen personenbezogener Daten relevant sind, die bei der Umsetzung der betreffenden Tätigkeiten betrieben werden, unter Berücksichtigung der Inhalt der personenbezogenen Daten, der Art und der Methoden ihrer Verarbeitung.
6. Neben den Bedrohungen der Sicherheit personenbezogener Daten, die in den gemäß Teil 5 dieses Artikels angenommenen Rechtsakte festgelegt wurden, sind Verbände, Allianzen und andere Vereinigung von Betreiber mit ihren Entscheidungen berechtigt, die zusätzlichen Bedrohungen für persönliche Bedrohungen zu ermitteln Datensicherheit, topisch, wenn Sie personenbezogene Daten in personenbezogenen Daten in personenbezogenen Daten in Bezug auf die Umsetzung bestimmter Tätigkeitsarten von Mitgliedern solcher Vereinigungen, Gewerkschaften und sonstigen Assoziationen der Betreiber betreiben, unter Berücksichtigung des Inhalts von personenbezogenen Daten, der Art und der Methoden ihrer wird bearbeitet.
7. Projekte der in Teil 5 dieses Artikels festgelegten regulatorischen Rechtsakte, die in Teil 5 dieses Artikels festgelegten, sind mit der in der Sicherheit genehmigten Bundesführer zu koordinieren, und die Bundesführerschaft, die auf dem Gebiet der technischen Erkundung und technischen Schutz von Informationen genehmigt wird. Der in Teil 6 dieses Artikels festgelegte Entwurfsentwürfe werden mit der im Bereich Sicherheit genehmigten Bundesführer koordiniert, und der Bundesführer, die auf dem Gebiet der technischen Erkundung und den technischen Schutz von Informationen genehmigt wurde, in der von der Regierung vorgeschriebenen Weise der russischen Föderation. Die Entscheidung der in der Sicherheit genehmigten Bundesführerschaft, und die im Bereich der technischen Erkundung und den technischen Schutz der Information, die Ablehnung der Entwurfsentwürfe der in Absatz 6 dieses Artikels der Entwurfsentwürfe genehmigter Bundes-Exekutivkörper, der auf dem Gebiet der technischen Erkundung und des technischen Schutzes genehmigt wurde .
8. Kontrolle und Überwachung organisatorischer und technischer Maßnahmen Um die Sicherheit der in Übereinstimmung mit diesem Artikel festgelegten personenbezogenen Daten sicherzustellen, werden bei der Verarbeitung personenbezogener Daten in staatlichen Informationssystemen personenbezogener Daten von der in diesem Bereich genehmigten Bundesberechtigungsbehörde durchgeführt Sicherheit und Bundesbehörde des Exekutivs, die auf dem Gebiet der technischen Erkundung und des technischen Schutzes von Informationen, innerhalb ihrer Befugnisse und ohne das Recht, sich mit personenbezogenen Daten in personenbezogenen Daten in Personaldaten, vertraut zu machen.
9. Die im Bereich Sicherheit genehmigte Bundeskörperkörper, und die Bundesführerschaft, die auf dem Gebiet der technischen Erkundung und den technischen Schutz von Informationen, der Entscheidung der Regierung der Russischen Föderation genehmigt wurde, berücksichtigt, unter Berücksichtigung der Bedeutung und des Inhalts von Die verarbeiteten personenbezogenen Daten können mit der Behörde angestopt werden, um die umsetzung organisatorischen und technischen Maßnahmen zu überwachen, um die Sicherheit der in Übereinstimmung mit diesem Artikel festgelegten personenbezogenen Daten zu gewährleisten, wenn sie in Informationssystemen personenbezogener Daten in der Implementierung bestimmter Typen verarbeitet werden von Tätigkeiten und sind keine staatlichen Informationssysteme für personenbezogene Daten, ohne das Recht, sich mit personenbezogenen Daten vertraut zu machen, die in Informationssystemen personenbezogener Daten verarbeitet werden.
10. Die Verwendung und Lagerung von biometrischen personenbezogenen Daten außerhalb von Informationssystemen personenbezogener Daten von personenbezogenen Daten können nur an solchen Materialträger von Informationen durchgeführt werden und die Verwendung einer solchen Speichertechnologie, die den Schutz dieser Daten vom rechtswidrigen oder zufälligen Zugang zu ihnen gewährleisten, ihre Zerstörung , Änderungen, Blockieren, Kopieren, Bereitstellung, Verteilung.
11. Für die Zwecke dieses Artikels, unter den Bedrohungen der Sicherheit personenbezogener Daten, der Kombination von Bedingungen und Faktoren, die die Gefahr des Unbefugnisses, einschließlich Zufällige, Zugang zu personenbezogenen Daten, die Folge von Zerstörung, Änderung, Blockieren, Kopieren, Bereitstellen, Verteilen personenbezogener Daten sowie andere rechtswidrige Aktionen, wenn sie im Informationssystem personenbezogener Daten verarbeitet werden. Unter der Sicherheit personenbezogener Daten wird ein umfassender Indikator verstanden, der die Anforderungen angibt, deren Anforderungen kennzeichnet, deren die Neutralisierung bestimmter Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen personenbezogener Daten gewährleistet.
Artikel 20. Verantwortung des Betreibers, wenn sie sich durch das Thema personenbezogener Daten oder nach Erhalt der Anforderung des Antrags an personenbezogenen Daten oder seinem Vertreter sowie eine autorisierte Stelle zur Schütze der Rechte der Subjekte personenbezogener Daten berührt (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Der Betreiber ist verpflichtet, in diesem Bundesgesetz, dem Thema personenbezogener Daten oder seine repräsentativen Informationen über die Verfügbarkeit personenbezogener Daten in Bezug auf das relevante Thema personenbezogene Daten zu berichten, sowie die Möglichkeit, sich vertraut zu machen sich mit diesen personenbezogenen Daten bei der Kontaktaufnahme mit dem Thema personenbezogener Daten oder seines Vertreters oder innerhalb von dreißig Tagen ab dem Datum des Erkennungsantrags des Antragsspersonals oder des Vertreters.
2. Im Falle einer Weigerung, Informationen über die Verfügbarkeit personenbezogener Daten zum relevanten personenbezogenen Daten oder personenbezogenen Daten, dem Thema personenbezogener Daten oder ihren Vertreter unter ihrem Berufung oder nach Erhalt der Anfrage an das Thema personenbezogener Daten oder Ihr Vertreter, der Betreiber ist verpflichtet, schriftlich eine motivierte Reaktion zu erteilen, die den Link zu Artikel 14 dieses Bundesgesetzes oder eines anderen Bundesgesetzes enthält, das die Grundlage für eine solche Ablehnung ist, in einem Zeitraum von dreißig Tagen ab dem attraktiven Datum das Thema personenbezogener Daten oder seines Vertreters oder vom Datum des Erhalts des Antrags zum Thema personenbezogener Daten oder seines Vertreters.
3. Der Betreiber ist verpflichtet, das Thema personenbezogener Daten oder seinen Vertreter die Möglichkeit zu bieten, sich mit personenbezogenen Daten vertraut zu machen, die zu diesem Thema personenbezogener Daten gehören. In einem Zeitraum von nicht mehr als sieben Arbeitstagen ab dem Tag ist das Thema personenbezogener Daten oder sein Vertreter von Informationen, die bestätigen, dass personenbezogene Daten unvollständig, ungenau oder irrelevant sind, ist der Betreiber verpflichtet, die notwendigen Änderungen in ihnen vorzunehmen. In einem Zeitraum von nicht mehr als sieben Arbeitstagen ab dem Tag an das Thema personenbezogener Daten oder sein Vertreter von Informationen, die bestätigen, dass solche personenbezogenen Daten illegal erhalten werden oder nicht für das erklärte Behandlungsziel erforderlich sind, ist der Betreiber verpflichtet, solche personenbezogenen Daten zu zerstören. Der Betreiber ist verpflichtet, das Thema personenbezogener Daten oder seinen Vertreter über die vorgenommenen Änderungen und der Maßnahmen zu informieren, die angemessene Maßnahmen ergreifen, um die Dritten zu informieren, dass die personenbezogenen Daten dieses Themas übertragen wurden.
4. Der Betreiber ist verpflichtet, die autorisierte Stelle zu informieren, um die Rechte der Fächer personenbezogener Daten auf Antrag dieses Körpers zu schützen, die die erforderlichen Informationen innerhalb von dreißig Tagen ab dem Datum des Erhalts einer solchen Anfrage anfordert.
Artikel 21. Die Pflichten des Betreibers, um Verstöße gegen Gesetze zu beseitigen, die in der Verarbeitung personenbezogener Daten erlaubt sind, um personenbezogene Daten zu klären, zu blockieren und zu zerstören (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Im Falle einer Erkennung einer rechtswidrigen Verarbeitung personenbezogener Daten beim Hinzufügen eines Themas von personenbezogenen Daten oder dessen Vertreter oder auf Antrag des Themas der personenbezogenen Daten oder des Vertreters oder eines autorisierten Körpers, um die Rechte personenbezogener Daten von personenbezogenen Daten zu schützen, Der Bediener ist verpflichtet, die rechtswidrigen verarbeiteten personenbezogenen Daten in Bezug auf diesen Betreff personenbezogener Daten zu blockieren oder sicherzustellen, dass sie gesperrt sind (wenn die Verarbeitung personenbezogener Daten von einer anderen Person von einer anderen Person durchgeführt wird, die auf die Anweisungen des Bedieners handelt) ab dem Moment von so ein Rechtsmittel oder Empfang der angegebenen Abfrage für den Zeitraum der Überprüfung. Wenn ungenaue personenbezogene Daten beim Kontaktieren von personenbezogenen Daten oder seinem Vertreter oder auf ihre Anforderung oder auf Antrag des autorisierten Körpers zum Schutz der Rechte personenbezogener Daten erkannt werden, ist der Betreiber personenbezogene Daten in Bezug auf dieses Thema von Persönlichkeiten verpflichtet Daten oder um sicherzustellen, dass ihre Blockierung (wenn die Verarbeitung personenbezogene Daten von einer anderen Person von einer anderen Person erfolgt, die auf die Anweisungen des Bedieners aktiv ist) aus dem Moment eines solchen Berufungs- oder Erhalts der angegebenen Anforderung für den Zeitraum der Überprüfung, wenn die personenbezogenen Daten blockiert wird nicht gegen die Rechte und legitime Interessen des Themas von personenbezogenen Daten oder Dritten verletzt.
2. Im Falle einer Bestätigung der Tatsache der Ungenauigkeit von personenbezogenen Daten, der Betreiber auf der Grundlage der Informationen, die vom Thema von personenbezogenen Daten oder seinem Vertreter oder einer autorisierten Stelle vorgelegt werden, um die Rechte der Themen der personenbezogenen Daten zu schützen, oder andere notwendige Dokumente verpflichtet, die personenbezogenen Daten zu klären oder mit Klarstellung zu verleihen (wenn die personenbezogene Datenverarbeitung an andere der Person, die sich für den Betreiber handelt, innerhalb von sieben Werktagen ab dem Datum der Einreichung dieser Informationen und Entlasten der Blockierung persönliche Daten.
4. Bei der Erreichung des Zwecks der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, die Verarbeitung personenbezogener Daten zu kündigen oder ihre Kündigung sicherzustellen (wenn die Verarbeitung von personenbezogenen Daten von einer anderen Person, die auf die Anweisungen des Bedieners handelt) und persönlich erfolgt ist Daten oder Um ihre Zerstörung zu gewährleisten (wenn die personenbezogene Datenverarbeitung von einer anderen Person von einer anderen Person erfolgt, die im Namen des Betreibers handelt) in einem Zeitraum von dreißig Tagen ab dem Zeitpunkt des Erzielens der Verarbeitung personenbezogener Daten, sofern nicht anders vom Vertrag bereitgestellt wird , die Partei, deren Begünstigter oder der Garant für personenbezogene Daten ist, sonstige Vereinbarung zwischen dem Betreiber und dem Thema personenbezogener Daten oder wenn der Betreiber nicht berechtigt ist, personenbezogene Daten ohne Zustimmung der personenbezogenen Daten auf der Anlagen, die durch dieses Bundesgesetz oder andere Bundesgesetze vorgesehen sind.
5. Im Falle des Anrufs an Angaben an personenbezogener Dateneinnahme, um seine personenbezogenen Daten zu erinnern, ist der Bediener verpflichtet, ihre Verarbeitung zu beenden oder sicherzustellen, dass eine solche Verarbeitung gestoppt wird (wenn die Verarbeitung personenbezogener Daten von einer anderen Person, die auf der handelt Anweisungen des Bedieners) und falls die Aufrechterhaltung personenbezogener Daten nicht mehr für die personenbezogene Datenverarbeitung erforderlich ist, zerstören Sie personenbezogene Daten oder um ihre Zerstörung (wenn die Verarbeitung personenbezogener Daten von einer anderen Person von der Anleitung von der Bediener) innerhalb eines Zeitraums innerhalb eines Zeitraums von dreißig Tagen ab dem Datum des Erhalts des angegebenen Widerrufs, sofern nicht anderweitig vom Vertrag bereitgestellt wird, dessen Begünstigter oder der Garant für personenbezogene Daten, sonstige Vereinbarung zwischen dem Betreiber und dem Thema von personenbezogenen Daten oder wenn der Betreiber nicht berechtigt ist, personenbezogene Daten ohne die Zustimmung des Themas personenbezogener Daten auf den von diesem Bundeshändlern vorgesehenen Anwesen zu verarbeiten M-Recht oder andere Bundesgesetze.
6. In Ermangelung der Fähigkeit, persönliche Daten innerhalb des in Teilen von 3 - 5 dieses Artikels festgelegten Zeitraum zu zerstören, blockiert der Bediener solche personenbezogenen Daten oder stellt sicher, dass sie gesperrt sind (wenn die Verarbeitung von personenbezogenen Daten von einem anderen durchgeführt wird Person, die auf die Anweisungen des Bedieners handelt) und sorgt für die Zerstörung personenbezogener Daten rechtzeitig nicht mehr als sechs Monate, es sei denn, andere Zeiträume werden von Bundesgesetzen festgelegt.
Artikel 22. Benachrichtigung der personenbezogenen Datenverarbeitung
1. Der Bediener vor Beginn der Verarbeitung personenbezogener Daten ist verpflichtet, die autorisierte Stelle zum Schutz der Rechte der Untertanen personenbezogener Daten über ihre Absicht, personenbezogene Daten zu informieren, mit Ausnahme der in Absatz 2 vorgesehenen Fällen Dieser Artikel.
2. Der Betreiber hat das Recht, das Gerät zu implementieren, ohne den autorisierten Körper zu informieren, um die Rechte personenbezogener Daten an die Verarbeitung personenbezogener Daten zu schützen:
1) gemäß den Arbeitsvorschriften verarbeitet; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
2) Erhalten vom Betreiber im Zusammenhang mit dem Vertragsschluss, dessen Partei Gegenstand personenbezogener Daten ist, wenn personenbezogene Daten nicht gilt, und nicht an Dritte ohne Zustimmung der personenbezogenen Daten vom Betreiber ausschließlich zur Durchführung des angegebenen Vertrags verwendet und Vereinbarungen mit dem Thema personenbezogener Daten abgeschlossen;
3) In Bezug auf Mitglieder (Teilnehmer) eines öffentlichen Verbands oder einer religiösen Organisation und der Bearbeitung der einschlägigen öffentlichen Vereinigung oder der religiösen Organisation, die in Übereinstimmung mit der Rechtsvorschriften der Russischen Föderation tätig sind, um legitime Ziele zu erreichen, die von ihren Bestandsunterlagen vorgesehen sind, sofern personenbezogene Daten wird nicht ohne Zustimmung in der schriftlichen Form der personenbezogenen Fächer ohne Zustimmung verteilt oder offenbart. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
4) Hergestellt durch das Thema personenbezogener Daten mit öffentlich verfügbarem Zustand; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
5) einschließlich nur Nachnamen, Namen und Patronymie der personenbezogenen Datenpersonen;
6) notwendig für den Zweck des einmaligen Durchlaufs des Themas personenbezogener Daten in das Territorium, an dem der Bediener oder in anderen ähnlichen Zwecken ist;
7) in den Informationssystemen personenbezogener Daten enthalten, die den Status der staatlichen Informationen zu den staatlichen Informationssystemen sowie in staatlichen Informationssystemen personenbezogener Daten entsprechen, um die Sicherheit der staatlichen und öffentlichen Ordnung zu schützen ; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
8) Verarbeitet ohne die Verwendung von Automatisierungs-Instrumenten gemäß den Bundesgesetzen oder anderen regulatorischen Rechtsakten der Russischen Föderation, die die Anforderungen an die Sicherheit personenbezogener Daten festlegen, wenn sie verarbeitet werden, und die Rechte der Themen personenbezogener Daten einhalten.
9) Verarbeitet in Fällen, die durch die Rechtsvorschriften der Russischen Föderation zur Transportsicherheit festgelegt werden, um den nachhaltigen und sicheren Betrieb des Transportkomplexes zu gewährleisten, den Schutz der Interessen der Individual, der Gesellschaft und des Staates auf dem Gebiet des Transportkomplexes aus den Taten der illegalen Eingriffe. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
3. Die in Absatz 1 dieses Artikels vorgesehene Mitteilung wird in Form eines Dokuments auf Papier oder in Form eines elektronischen Dokuments gesendet und wird von einer autorisierten Person unterzeichnet. Benachrichtigung muss folgende Informationen enthalten: (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1) Name (Nachname, Name, PatronyMic), Bedieneradresse;
2) der Zweck der Verarbeitung personenbezogener Daten;
5) Rechtsgrundlage für die personenbezogene Datenverarbeitung;
6) eine Liste von Aktionen mit personenbezogenen Daten, der allgemeinen Beschreibung der Methoden zur Verarbeitungspersonaldaten, die vom Bediener verwendet werden; Informationen zur Anwesenheit oder auf das Fehlen einer grenzüberschreitenden Übertragung personenbezogener Daten während ihrer Verarbeitung; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
10.1) Informationen zum Standort der Datendatenbank mit den personenbezogenen Daten der Bürger der Russischen Föderation; (in der geänderten Bundesgesetz vom 21. Juli 2014 N 242-FZ)
11) Informationen zur Sicherstellung der Sicherheit personenbezogener Daten gemäß den Anforderungen an den Schutz personenbezogener Daten, der von der Regierung der Russischen Föderation festgelegt wurde. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
4. Der autorisierte Körper zum Schutz der Rechte personenbezogener Daten innerhalb von dreißig Tagen ab dem Zeitpunkt des Erhalts der Benachrichtigung der Verarbeitung personenbezogener Daten ergibt sich in Absatz 3 dieses Artikels sowie Informationen über die Richtung der angegebenen Benachrichtigung an die Bedienerregister. Die Informationen, die in der Registrierung der Betreiber enthalten sind, mit Ausnahme von Informationen über die Sicherheit personenbezogener Daten, um ihre Verarbeitung sicherzustellen, sind öffentlich zugänglich.
5. Der Betreiber kann nicht den Kosten der Berücksichtigung der Benachrichtigung über die Verarbeitung personenbezogener Daten durch eine autorisierte Stelle zum Schutz der Rechte personenbezogener Daten sowie im Zusammenhang mit der Einführung von Informationen im Register der Betreiber auferlegt werden .
6. Im Falle der Bereitstellung von unvollständigen oder falschen Informationen, die in Teil 3 dieses Artikels angegeben sind, ist das autorisierte Körper für den Schutz der Rechte der personenbezogenen Daten berechtigt, vom Bediener zu verlangen, um die von ihnen bereitgestellten Informationen zu klären an das Register der Bediener vorgelegt.
7. Im Falle einer Änderung der in Absatz 3 dieses Artikels festgelegten Informationen sowie bei der Kündigung der personenbezogenen Datenverarbeitung ist der Betreiber verpflichtet, die autorisierte Stelle zum Schutz der Rechte der Themen zu informieren Persönliche Daten innerhalb von zehn Arbeitstagen ab dem Datum des Auftretens solcher Änderungen oder dem Datum der Bearbeitung von personenbezogenen Daten. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Artikel 22.1. Person, die für die Organisation der personenbezogenen Datenverarbeitung in Organisationen verantwortlich ist (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
1. Der Betreiber, der eine juristische Person ist, ernennt eine Person, die für die Organisation der personenbezogenen Datenverarbeitung verantwortlich ist.
2. Die Person, die für die Organisation der personenbezogenen Datenverarbeitung verantwortlich ist, erhält Anweisungen direkt aus dem Exekutivkörper der Organisation, das der Bediener ist und leicht ist.
3. Der Betreiber ist verpflichtet, eine Person, die für die Organisation der personenbezogenen Datenverarbeitung verantwortlich ist, die in Artikel 22 dieses Bundesgesetzes angegebenen Informationen bereitzustellen.
4. Insbesondere der für die Organisation der persönlichen Datenverarbeitung verantwortlichen Person ist verpflichtet:
1) Die interne Kontrolle über die Beachtung des Betreibers und seiner Mitarbeiter der Rechtsvorschriften der Russischen Föderation auf personenbezogene Daten, einschließlich der Anforderungen an den Schutz personenbezogener Daten, durchzuführen;
2) Aufmerksamkeit der Betreiberangestellten der Rechtsvorschriften der Russischen Föderation auf personenbezogene Daten, lokale Handlungen auf die personenbezogene Datenverarbeitung, der personenbezogenen Datenschutzanforderungen;
3) Organisieren Sie den Empfang und die Verarbeitung von Berufungen und Anfragen der Anfragen von Personen und deren Vertreter und (oder), um den Empfang und die Verarbeitung solcher Anrufe und Anfragen zu steuern.
Kapitel 5. Zustandskontrolle und Überwachung der personenbezogenen Datenverarbeitung. Verantwortung für Verletzung der Anforderungen dieses Bundesgesetzes (in der geänderten Bundesgesetz von 22.02.2017 N 16-FZ)
Artikel 23. Kommissarin für den Schutz personenbezogener Datenpersonen
1. Der autorisierte Körper für den Schutz der Rechte der Personaldaten ist das Bundesleitkörper, das Funktionen durchführt, um die Einhaltung der Verarbeitung personenbezogener Daten mit den Anforderungen der Rechtsvorschriften der Russischen Föderation auf dem Gebiet des persönlichen Bereichs zu kontrollieren und zu überwachen Daten. (in der geänderten Bundesgesetz von 22.02.2017 N 16-FZ)
1.1. Die autorisierte Stelle für den Schutz der Rechte der personenbezogenen Daten der personenbezogenen Daten der personenbezogenen Daten enthält die staatliche Kontrolle und die Überwachung der Einhaltung der Verarbeitung personenbezogener Daten mit den Anforderungen dieses Bundesgesetzes und der entsprechenden Rechtsakte der Rechtsakte (staatliche Kontrolle) und Überwachung der personenbezogenen Datenverarbeitung). Das Verfahren zur Organisation und Durchführung von Audits juristischer Personen und einzelnen Unternehmer, die vom Körper genehmigten Betreiber, um die Rechte personenbezogener Daten zu schützen, sowie das Verfahren zur Organisation und Durchführung der staatlichen Kontrolle und der Überwachung der Verarbeitung personenbezogener Daten durch andere Personen, die Betreiber sind, werden von der Regierung der Russischen Föderation gegründet. (in der geänderten Bundesgesetz von 22.02.2017 N 16-FZ)
2. Der autorisierte Körper für den Schutz der Rechte der Unternehmensunternehmen personenbezogener Daten betrachtet die Berufung des Themas personenbezogener Daten zur Übereinstimmung des Inhalts von personenbezogenen Daten und deren Verarbeitungsmethoden für ihre Bearbeitungsziele und trifft eine angemessene Entscheidung.
3. Die autorisierte Stelle für den Schutz der Rechte der Personenpersonen hat das Recht:
1) Anfrage von Einzelpersonen oder juristischen Personen Die Informationen, die zur Umsetzung seiner Kräfte erforderlich sind, und erhalten diese Informationen frei;
2) Um die in der Benachrichtigung der Verarbeitung von personenbezogenen Daten enthaltenen Informationen zu überprüfen oder andere Staatsorgane anzuziehen, um eine solche Inspektion innerhalb ihrer Befugnisse durchzuführen;
3) Erfordert, dass der Bediener unzuverlässige oder illegal erhaltene personenbezogene Daten klären, blockieren oder zerstören kann;
3.1) Beschränken Sie den Zugriff auf Informationen, die mit Verletzung der Rechtsvorschriften der Russischen Föderation auf dem Gebiet der personenbezogenen Daten in der von der Gesetzgebung der Russischen Föderation vorgeschriebenen Weise verarbeitet werden; (in der geänderten Bundesgesetz vom 21. Juli 2014 N 242-FZ)
4) gemäß dem Verfahren, das durch die Rechtsvorschriften der Russischen Föderation festgelegt wurde, um die Verarbeitung von personenbezogenen Daten, die in Verletzung der Anforderungen dieses Bundesgesetzes ausgeführt wurden, auszusetzen oder zu kündigen;
5) Wenden Sie sich an den Gerichtshof mit Ansprüchen an den Schutz der Rechte personenbezogener Daten, einschließlich des Schutzes der Rechte einer unbestimmten Verteilung von Personen, und die Interessen der persönlichen Daten vor Gericht darstellen; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
5.1), um an das Bundeskörper der Bundeskörper zu schicken, das in der Sicherheit genehmigt wurde, und die Bundesführerschaft, die auf dem Gebiet der technischen Erkundung und technischen Schutz von Informationen genehmigt wurde, in Bezug auf den Bereich ihrer Tätigkeiten, die in Absatz 3 festgelegten Informationen von Artikel 22 dieses Bundesgesetzes; (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
6) Senden Sie einen Antrag an den Körper, der die Tätigkeiten der Betreiber lizenziert, um Maßnahmen zu berücksichtigen, um die Maßnahmen oder die Annullierung der relevanten Lizenz in dem von der Rechtsvorschriften der Russischen Föderation festgelegten Verfahrens auszusetzen, wenn die Lizenz für solche Aktivitäten ein Verbot der Übertragung ist personenbezogene Daten an Dritte ohne Zustimmung schriftliche Form des Themas personenbezogener Daten;
7) An den Staatsanwaltschaftsbehörden gesendet, andere Strafverfolgungsbehörden, um das Thema der Initiierung von Straffällen auf die Anzeichen von Verbrechen in Bezug auf Verstöße gegen die Rechte personenbezogener Daten in Übereinstimmung mit der Unterordnung zu lösen;
8) Beitrag zur Regierung der Russischen Föderationsvorschläge zur Verbesserung der regulatorischen gesetzlichen Regulierung des Schutzes der Rechte der Personenpersonen;
9) Um die Verwaltungsverantwortung von Personen an der Verletzung dieses Bundesgesetzes zu gewinnen.
4. In Bezug auf personenbezogene Daten, die zu einem bekannten autorisierten Körper geworden ist, um die Rechte der personenbezogenen Daten während ihrer Tätigkeit zu schützen, müssen personenbezogene Daten sichergestellt werden.
5. Die autorisierte Stelle für den Schutz der Rechte der Untertanen personenbezogener Daten ist verpflichtet:
1) Organisieren Sie gemäß den Anforderungen dieses Bundesgesetzes und anderer Bundesgesetze der Schutz der Rechte der Personaldateneinheiten;
2) Betrachtung von Beschwerden und Berufungen von Bürgern oder juristischen Personen zu Fragen, die sich auf die Verarbeitung personenbezogener Daten zusammenhängen sowie Lösungen in ihrer Behörde über die Ergebnisse der Berücksichtigung dieser Beschwerden und Berufungen ergreifen;
3) Halten Sie das Register der Bediener aufrecht;
4) Umsetzungsmaßnahmen zur Verbesserung des Schutzes der Rechte personenbezogener Daten;
5) Ein Übereinstimmung mit dem Verfahren, das durch die Rechtsvorschriften der Russischen Föderation auf die Einreichung der in der Sicherheit genehmigten Bundesweiterschaft ermächtigt wurde, der Bundesführerschaft im Bereich des staatlichen Schutzes oder der in der Feld des entgegenstehenden technischen Erkundungen und des technischen Schutzes von Informationen, Maßnahmen zur Aussetzung oder Beendigung der personenbezogenen Datenverarbeitung; (wie vom Bundesgesetz von 01.07.2017 n 148-fz)
6) Informationsagenturen sowie Untertanen personenbezogener Daten zu ihren Berufungen oder Anfragen zum Status des Schutzes der Rechte personenbezogener Daten informieren;
7) Führen Sie andere Verpflichtungen durch die Rechtsvorschriften der Russischen Föderation aus.
5.1. Die autorisierte Stelle zum Schutz der Rechte der personenbezogenen Daten wirkt sich mit den Behörden zusammen, um die Rechte der Fächer personenbezogener Daten in den ausländischen Ländern zu schützen, insbesondere der internationale Informationsaustausch über den Schutz der Rechte personenbezogener Daten, genehmigt eine Liste der ausländischen Länder, die einen angemessenen Schutz der Rechte der Personaldaten gewährleisten. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
6. Entscheidungen des Kommissars für den Schutz von Rechten der personenberechtigten Personen können vor Gericht eingelegt werden.
7. Die autorisierte Stelle für den Schutz der Rechte personenbezogener Daten sendet jährlich einen Bericht über seine Aktivitäten an den Präsidenten der Russischen Föderation an die Regierung der Russischen Föderation und der Bundesversammlung der Russischen Föderation. Dieser Bericht wird in den Medien veröffentlicht.
8. Die Finanzierung der autorisierten Stelle zum Schutz der Rechte der Untertanen personenbezogener Daten erfolgt auf Kosten des Bundesbudgets.
9. Mit einem autorisierten Körper, um die Rechte der Fächer personenbezogener Daten zu schützen, der Beirat, das Verfahren für die Bildung und das Verfahren für die Aktivitäten, der von der autorisierten Stelle bestimmt wird, um die Rechte der persönlichen Datenbestandteile zu schützen.
Artikel 24. Verantwortung für Verletzung der Anforderungen dieses Bundesgesetzes
1. Personen, die schuldig, dass die Anforderungen dieses Bundesgesetzes verstößt, sind gemäß den Rechtsvorschriften der Russischen Föderation verantwortlich. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
2. moralischer Schaden, der dem Thema personenbezogener Daten aufgrund einer Verletzung seiner Rechte, Verstöße gegen die Regeln der Verarbeitung von personenbezogenen Daten, die von diesem Bundesgesetz festgelegt wurden, sowie Anforderungen an den Schutz der in Übereinstimmung mitgenommenen personenbezogenen Daten Bundesgesetz wird gemäß den Rechtsvorschriften der Russischen Föderation erstattet. Die Entschädigung von nicht-finanziellem Schaden wird unabhängig von der Entschädigung von Anwesenheitsschäden und anfallende Datenverluste durchgeführt. (in der geänderten Bundesgesetz vom 25. Juli 2011 Nr. 261-FZ)
Kapitel 6. Schlussbestimmungen
Artikel 25. Schlussbestimmungen
1. Dieses Bundesgesetz betritt den Ablauf von einhundertundachtzig Tagen nach dem Tag seiner offiziellen Veröffentlichung in Kraft.
2. Nach dem Inkrafttreten dieses Bundesgesetzes erfolgt nach dem Inkrafttreten dieses Bundesgesetzes die Verarbeitung personenbezogener Daten, die in den Informationssystemen personenbezogener Daten in in Kraft getreten sind, gemäß diesem Bundesgesetz durchgeführt.
2.1. Betreiber, die die Verarbeitung personenbezogener Daten bis zum 1. Juli 2011 durchführen, sind verpflichtet, sich der autorisierten Stelle zu unterwerfen, um die Rechte personenbezogener Daten die in den Absätzen angegebenen Informationen zu schützen,
5. Beziehungen zur Verarbeitung von personenbezogenen Daten, die von staatlichen Agenturen, juristischen Personen, Einzelpersonen in der Bereitstellung von staatlichen und kommunalen Dienstleistungen durchgeführt werden, die Ausführung von staatlichen und kommunalen Funktionen in der Russischen Föderation - der Stadt der Bundesschaft Moskau werden von diesem Bundesgesetz reguliert, sofern nicht anderweitig das Bundesgesetz "auf den Besonderheiten der Regulierung bestimmter Rechtsbeziehungen im Zusammenhang mit dem Beitritt zum Thema Russischen Föderation - der Stadt der Bundesanzeige von Moskauer Gebieten und zur Änderung der einzelnen Legislativakte von Die Russische Föderation." (in der geänderten Bundesgesetz vom 04.05.2013 N 43-FZ)
Präsident der Russischen Föderation
V.putin.
Moskauer Kreml.
1. Das Thema personenbezogener Daten entscheidet über die Bereitstellung seiner personenbezogenen Daten und erklärt sich damit einverstanden, sie von seinem Willen und in seinem Interesse frei zu verarbeiten. Die Zustimmung zur Verarbeitung personenbezogener Daten sollte konkret, informiert und bewusst sein. Die Zustimmung zur Verarbeitung personenbezogener Daten kann durch das Thema personenbezogener Daten oder seines Vertreters einverstanden sein, um die Tatsache seiner Vorbereitung zu bestätigen, sofern nicht anderweitig vom Bundesgesetz festgelegt wird. Bei der Erzielung der Zustimmung zur Verarbeitung personenbezogener Daten aus dem Vertreter des Themas personenbezogener Daten werden die Befugnisse dieses Vertreters für die Vereinbarung des Landes im Auftrag der personenbezogenen Daten vom Betreiber überprüft.
2. Zustimmung zur Verarbeitung personenbezogener Daten kann durch das Thema personenbezogener Daten zurückgezogen werden. Wenn das Thema personenbezogener Daten überprüft wird, ist der Betreiber berechtigt, personenbezogene Daten ohne die Einwilligung der personenbezogenen Daten in Anwesenheit der in den Absätzen 2 - 11 des Teils 1 von Artikel 6 Absatz 2 des Artikels 10 des Teils 2 bis 11 weiter zu verarbeiten und Teil 2 von Artikel 11 dieses Bundesgesetzes.
3. Verantwortung, den Nachweis zur Erzielung der Zustimmung des Themas personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten oder des Nachweiss der Anwesenheit der in den Absätzen 2 bis 11 von Artikel 6 von Artikel 6 Absatz 2 von Artikel 10 Absatz 2 von Teil 1 von Artikel 6 Absatz 2 von Artikel 10 Absatz 2 des Teils 1 des Teils 1 von Artikel 6 Absatz 2 von Artikel 10 Absatz 2 von Artikel 10 Absatz 2 von Artikel 10 Absatz 2 von § 10 Absatz 2 Teil 2 Artikel 11 dieses Bundesgesetzes, der dem Betreiber zugewiesen ist.
4. In Fällen, die vom Bundesgesetz festgelegt sind, erfolgt die personenbezogene Datenverarbeitung nur mit der Zustimmung, um das Thema personenbezogener Daten zu schreiben. Um das persönliche Personal, das das Personal des Themas von personenbezogenen Daten enthält, entspricht, wird die Zustimmung zum Schreiben auf Papier als Vereinbarung in Form eines elektronischen Dokuments erfasst, das gemäß dem Bundesgesetz einer elektronischen Unterschrift unterzeichnet wird. Zustimmung schriftlich sollte das Thema personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten enthalten, insbesondere:
1) Nachname, Vorname, Patronymie, Adresse der personenbezogenen Datenentität, die Anzahl der Hauptdokument, die seine Persönlichkeit, Informationen zum Datum der Ausgabe des angegebenen Dokuments bestätigt und von der Behörde ausgestellt wurde;
2) Nachname, Name, Patronym, Adresse des Vertreters des Personals des personenbezogenen Betreffs, die Anzahl der Hauptdokument, die seine Persönlichkeit, Informationen über das Datum der Ausgabe des angegebenen Dokuments bestätigt und seine Behörde, Details einer Anwaltskraft oder anderes Dokument, das die Befugnisse dieses Vertreters bestätigt (nach Erhalt der Zustimmung des Vertreters des Themas Personaldaten);
3) Name oder Nachname, Name, Patronymie und Adresse des Betreibers, der die Zustimmung des Themas personenbezogener Daten erhält;
4) der Zweck der Verarbeitung personenbezogener Daten;
5) eine Liste der personenbezogenen Daten, auf deren Verarbeitung die Zustimmung des Themas personenbezogener Daten ist;
6) Name oder Nachname, Name, Patronymie und Adresse der Person, die personenbezogene Daten zu den Anweisungen des Bedieners abwickeln, wenn die Verarbeitung einer solchen Person zugeordnet ist;
7) Eine Liste von Handlungen mit personenbezogenen Daten, deren Kommission einverstanden ist, ist die allgemeine Beschreibung des Betreibers der Methoden der Verarbeitung personenbezogener Daten angegeben;
8) der Zeitraum, in dem die Zustimmung des Themas personenbezogener Daten anwendbar ist, sowie die Methode seines Widerrufs, sofern nicht anders vom Bundesgesetz festgelegt ist;
9) Unterschrift des Subjekts personenbezogener Daten.
5. Das Verfahren zur Erlangung eines elektronischen Dokuments zustimmender personenbezogener Daten über die Verarbeitung ihrer personenbezogenen Daten, um staatliche und kommunale Dienstleistungen sowie Dienstleistungen, die für die Bereitstellung von staatlichen und kommunalen Dienstleistungen erforderlich und obligatorisch sind, wird von der Regierung der Russischen Föderation festgelegt.
6. Im Falle einer Arbeitsunfähigkeit für das Thema personenbezogener Daten ergibt sich die Zustimmung zur Verarbeitung seiner personenbezogenen Daten einen rechtlichen Vertreter des Themas personenbezogener Daten.
7. Im Falle des Todes des Themas personenbezogener Daten ergibt sich die Zustimmung zur Verarbeitung seiner personenbezogenen Daten den Erben des Themas personenbezogener Daten, wenn eine solche Einwilligung nicht dem Thema personenbezogener Daten während seines Lebens gegeben wurde.
8. Personenbezogene Daten können von einem Betreiber im Namen einer Person erhalten werden, die nicht personenbezogene Daten unterliegt, vorbehaltlich der Bestätigung der Bestätigung auf das Vorhandensein der in den Absätzen 2 - 11 von Teil 1 des Artikels 6 von Artikel 6, Teil 2 von Artikel 10 und Teil 2 von Artikel 11 dieses Bundesgesetzes.
In diesem Artikel sind wir verständlich und erreichbar (wenn möglich) werden wir versuchen, zu erklären, wie man das übliche Online-Geschäft in der Epoche von FZ N 152 "auf personenbezogenen Daten leitet. Genauer gesagt, wir sagen, wie man ihn verteidigen soll.
Es sollte jedoch zunächst daran erinnert werden, dass Name, Telefon, E-Mail, Adresse und andere Daten, die eine bestimmte Person kennzeichnen persönlich. Und der Erhalt von ihnen, auch als Ergebnis eines Telefongesprächs, ist ihr wird bearbeitet. Somit ist unter dem neuen wundervollen Gesetz die Aktivität der absolut kommerziellen Website fällt. Hurra, Kameraden.
Was fürchten dich?
Ab dem 1. Juli 2017 in Artikel 13.11 erschien der Verwaltungskodex der Russischen Föderation neue Kompositionen von Verstößen gegen die Rechtsvorschriften im Bereich der personenbezogenen Daten (1 war 1).
Die Größe der Geldbußen hat von 10.000 Rubel auf 290.000 Rubel erhöht. Die maximale Geldbuße droht diejenigen, die absolut alle Anforderungen unter Absatz 1 - 6 der Kunst verletzt haben. 13.11 Verwaltungscode. Das ist ziemlich schwierig, aber darüber unten.
Wer wird Geldstrafe?
Strafen werden Betreiber sein, das heißt, diejenigen, die die personenbezogenen Daten umfassen, einschließlich gesammelt. Einfache Anforderungsname und Telefonnummer (oder E-Mail) wird bereits verarbeitet.
Roskomnadzor Um zu bestätigen, dass Sie personenbezogene Daten mithalten, reicht es aus, auf Ihrer Website das Feedback-Formular, ein Newsletter-Abonnement oder die Möglichkeit, sich auf dem persönlichen Konto registrieren, zu sehen. In diesen Fällen fallen Sie in das Gesetz, und in Bezug auf Sie ist es möglich, eine Überprüfung der Einhaltung der Rechtsvorschriften auf dem Gebiet der personenbezogenen Daten durchzuführen.
Daher haben wir einen Verteidiger von der FZ n 152 gemacht.
Wir haben Callibri.ru, wie man legal ist?
Verteidiger aus dem Bundesgesetz 152 - das Dokumentenbildungssystem, so dass sich Ihr und unser Geschäft in voller Einhaltung der Anforderungen von FZ N 152 tätig waren.
Das müssen Sie tun:
So sieht es aus wie:
Wichtig!
Das ist alles? Jetzt bin ich nicht an 290 tr angebracht.
Nicht wirklich. Der Verteidiger funktioniert nur, wenn:
- datenerfassungsmethoden unterscheiden sich nicht von denjenigen, die Sie in den Einstellungen ausgewählt haben.
- datenerfassungsziele unterscheiden sich nicht von denjenigen, die Sie in den Einstellungen ausgewählt haben.
- sie verwenden keine anderen Dienste, um andere Dienstleistungen außer Callibri.ru zu sammeln und zu verarbeiten.
In allen anderen Fällen können Sie Probleme haben. Über sie unten.
Ich benutze andere Dienste, die personenbezogene Daten sammeln. Wie ist es legal?
Alles in der Hölle löschen. Wir können nicht für die Einhaltung anderer Dienste mit den Anforderungen von FZ N 152 "auf personenbezogenen Daten" verantwortlich sein. Es ist gut, dass es in unserem Portfolio alles gibt, was Sie brauchen: COLRTAINGROUND, Callback, Online-Anruf, Anwendung und Online-Berater.
Callibri anschließen.
Wenn Sie jedoch wirklich andere Dienste und / oder Ihre Ziele verwenden möchten, und / oder Wege, um personenbezogene Daten zu verarbeiten anders Von der vorgeschlagenen Callibri.ru müssen Sie externe Berater anziehen, um Ihre Dokumente in Bezug auf die personenbezogene Datenverarbeitung zu entwickeln, um sie vorzustellen und auf die Überprüfung von Roskomnadzor und Geldbußen auf seine Ergebnisse zu warten. Und es ist bis zu 290 tr.
Was genau wird der Verteidiger sparen?
Erstens erfüllt Ihre Site alle Anforderungen der Rechtsvorschriften (Absatz 2 von Teil 2 der Art. 5, Teil 1, Teil 2 der Art. 18.1 FZ n 152 "auf personenbezogener Daten"). Es reduziert das Risiko, dass die Inspektion initiiert wird, und erhöht Ihre Zuverlässigkeit in den Augen der Kunden. Zweitens wird Roskomnadzor keine Gründe haben:
- Geldstrafe in Höhe von bis zu 30.000 Rubel. Zum Versagen der uneingeschränkten Richtlinien (Teil 3, Artikel 13.11 des Verwaltungsgesetzbuchs der Russischen Föderation).
Zum Beispiel: Geldstrafe für das Fehlen von Richtlinien auf der Website. - Sie in der Menge von bis zu 50.000 Rubel firmen. Zur Verarbeitung von personenbezogenen Daten, die mit den Zusammenbringungszielen nicht kompatibel sind.
Zum Beispiel: Sie liefern die Ware und fordern Sie einen Scan eines Reisepasses an, wenn es ausreichend ist, wenn Sie nur einen vollständigen Namen und Ihre Adressen haben.
Wirst du uns über uns Roskomnadzor benachrichtigen?
Nein, nicht benachrichtigen. Es ist nicht notwendig. Gott sei Dank. Eine Weile.
Warum nicht Roskomnadzor benachrichtigen?
Nach Teil 2 der Kunst. 22 FZ N 152 Der Bediener ist berechtigt, personenbezogene Daten zu verarbeiten, ohne Roskomnadzor in einigen Fällen zu benachrichtigen. Alle werden nicht aufgelistet, sondern der Schlüssel davon:
Erhalten vom Betreiber im Zusammenhang mit dem Vertragsschluss, dessen Partei das Thema personenbezogener Daten ist, wenn personenbezogene Daten nicht gilt, und nicht an Dritte ohne Zustimmung der personenbezogenen Daten zur Verfügung gestellt und von verwendet werden der Betreiber ausschließlich zur Durchführung des angegebenen Vertrags und Abschluss von Vereinbarungen mit dem Thema personenbezogener Daten;
Jene. Wenn der Erstgeborene Sie sammeln und verarbeitet
- dritten ohne Zustimmung des Themas der personenbezogenen Daten nicht zur Verfügung gestellt;
- ausschließlich für die Ausführung des Vertrages, im Zusammenhang mit dem Schluss, dessen sie mit dem Thema personenbezogener Daten erhielten und abgeschlossen haben, verwendet;
Benachrichtigen Sie Roskomnadzor nicht unbedingt!
Und viele sagen, was Sie brauchen ...
Das Gesetz ist umstritten, es gibt viele Meinungen, Interpretationen und Spekulationen von skrupellosen Anwälten zu diesem Thema. Es gibt noch keine gerichtliche Praxis. Denken Sie also an: global haben Sie 3 Optionen
- Völlig illegal sein. Es gibt nichts zu reden. Risiken sind viel höher als in diesem Artikel beschrieben;
- Arbeiten Sie dank Analibri-Dokumenten legal. Aber nicht benachrichtigen Roskomnadzor;
- Um legal zu arbeiten und RoskomNadzor zu informieren und in der Registrierung der Personaldatenbetreiber aufzutreten.
Wir empfehlen die zweite Option, weil In diesem Fall beträgt Ihre Zeit- und Stärkekosten 30 Minuten (um diesen Artikel zu lesen, den Fragebogen auszufüllen und die Bestellung zu unterschreiben). Und das Maximum fein, wenn der Roskomnadzor etwas nicht mag (dh für den Mangel an Mitteilung), wird es tausend Rubel (für juristische Personen) geben.
In der dritten Version benötigen Sie und die Kräfte und das Geld mehr, und die Wahrscheinlichkeit einer geplanten Inspektion wird deutlich zunehmen.
Deshalb glauben wir, dass die meisten Geschäfte unseres Schutzdesigners von FZ N 152 ausreichen werden.
Müssen Sie alle Besucher über Cookie-Verarbeitungsdateien warnen?
Hier wie immer sind zwei Anwälte drei Meinungen. Unsere Anwälte glauben, dass die Informationen selbst von Cookie-Dateien nicht personenbezogene Daten sind, in der Trennung anderer Benutzerinformationen. Es ist gemunkelt, dass Roskomnadzor noch nicht darauf aufmerksam macht. Wenn Sie jedoch vollständig versichern möchten, fragen Sie die Entwickler Ihrer Website, um ein Popup-Fenster mit einem solchen Text hinzuzufügen: "Ich stimme zu, Cookies zu verarbeiten" (mit "OK" -Taste).
Der Weblist sieht personenbezogene Daten. Was zu tun ist?
Keine Bange! Nach den Empfehlungen von Yandex verteidigten wir alle Felder, in denen personenbezogene Daten angegeben werden können, eine spezielle Klasse. Dank dieses Chips wird der Weblist keine persischen Benutzer sehen, die auf der Website in Formulare getrieben werden.
Slika
Und wir haben uns entschieden, alle Bedingungen anzugeben, sodass Sie keine Fragen haben.
Persönliche Informationen - alle Informationen, die sich auf direkt oder indirekt definiert oder definiert, der dem physischen Person (vorbehaltlich personenbezogener Daten), darunter: Sein Nachname, Name, Patronym, Jahr, Monat, Datum und Geburtsort, Adresse, E-Mail, Telefonnummer, Andere Identifikationsinformationen (siehe FZ-152, Artikel 3, 10, 11).
Derzeit ist die Liste der personenbezogenen Daten nicht geschlossen, wenn Sie daran zweifeln, ob die Daten persönlich sind, siehe Rechtsanwälte zur Klarstellung.
Verarbeitung personenbezogener Daten - Dies ist eine Aktion oder ein Satz von Aktionen, einschließlich der Sammlung, Aufnahme, Systematisierung, Akkumulation, Lagerung, Verfeinerung, Extraktion, Verwendung, Übertragung (Verteilung, Zugang), Auszweigung, Blockierung, Löschung, Zerstörung personenbezogener Daten.
Operator - Rechts- oder Einzelperson, unabhängig oder zusammen mit anderen Personen, die mit (oder) Verarbeitungspersonaldaten sowie die Ermittlung der persönlichen Datenverarbeitungszwecke sowie die Ermittlung der persönlichen Datenverarbeitungszwecke, die Zusammensetzung der zu bearbeitenden personenbezogenen Daten, die mit personenbezogenen Daten durchgeführt werden.
Verteilung personenbezogener Daten - Aktionen, die darauf abzielen, personenbezogene Daten von einem unbestimmten Personenkreis anzugeben.
Zerstörung personenbezogener Daten - Maßnahmen, die er resultieren, in der es sich nicht um den Inhalt der personenbezogenen Daten im personenbezogenen Dateninformationssystem und (oder) nicht wiederherstellen, wodurch Materialträger zerstört werden.
Alexey Anashkin.
Leitender Spezialist
Llc "komplexer Informationsschutz"
27. Juli 2006 wurde akzeptiert Bundesgesetz Nr. 152-FZ "auf personenbezogenen Daten" Um den Schutz von Menschenrechten und Freiheiten und Bürgern bei der Verarbeitung seiner personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes der Rechte an Privatsphäre, persönliches und Familiengeheimnis. Einer der Gründe für die Annahme dieses Gesetzes war zahlreiche Tatsachen von Datenbanken von Datenbanken personenbezogener Daten in staatlichen und gewerblichen Strukturen, ihrem weit verbreiteten Verkauf.
Was bedeutet der Begriff "personenbezogene Daten"?
Die Definition personenbezogener Daten (PDN) wurde vor der Annahme des Gesetzes erfüllt, zum Beispiel in der "Liste der vertraulichen Informationen", genehmigt dekret des Präsidenten der Russischen Föderation № 188 Ab dem 6. März 1997:
ZU vertrauliche Informationen umfassen: Informationen zu den Fakten, Ereignissen und Umständen des Privatlebens eines Bürgers, der seine Identität identifizieren kann ( persönliche Informationen), mit Ausnahme der Informationen, die in den Medien in den von den Bundesgesetzen festgelegten Fällen verbreitet werden sollen.
Das Gesetz ergänzte es jedoch. Nun, nach FZ-152, personenbezogene Daten -
alle Informationen, die sich auf eine bestimmte oder definierte physikalische Person auf der Grundlage solcher Informationen (Thema personenbezogener Daten) zusammenhängen, einschließlich des Nachnamens, des Namens, des Patronismus, des Jahres, des Monats, des Datums und des Geburtsorts, der Adresse, der Familie, der sozialen, der Eigentumslage, Bildung, Beruf, Einkommen, sonstige Angaben.
Somit sind personenbezogene Daten vor allem Passdetails, Informationen zum Familienstand, Informationen zu Bildung, die Anzahl des Inns, das versicherte Zeugnis der staatlichen Rentenversicherung, der Krankenversicherung, der Information über Arbeitsaktivitäten, den Sozial- und Eigentumsstatus, Einkommensinformationen. Solche Daten sind praktisch in jeder Organisation.
Bei der Eingabe von Arbeit ist die Daten der Personalabteilung des Arbeitgebers, die der Mitarbeiter eine persönliche Karte, eine Autobiographie, andere Dokumente mit einem Arbeitsvertrag angibt.
Wenn der Zulassung des Kindes zu einem Kindergarten, einer Schule, einem Institut, an anderen Bildungseinrichtungen mit einer Vielzahl von Fragebögen und Formularen gefüllt ist, die Daten als Kind angeben (z. B. die Daten der Geburtsurkunde) und ihren Eltern (bis zum Ort von der Position gehaltenen Arbeiten).
Bei der Behandlung der Behandlung in medizinischen Einrichtungen ist es notwendig, nicht nur Passportdaten, sondern auch Informationen über Leistungen, Krankenversicherungen, Informationen zu früheren Behandlungen, Ergebnisse der Analysen anzuzeigen. In vielen medizinischen Institutionen werden ambulante / stationäre Karten in elektronischer Form dupliziert.
Und all diese Daten sind gemäß der aktuellen Gesetzgebung zu schützen.
Warum den Schutz starten, und ist es überhaupt notwendig?
Datenschutz-Bestimmungen - obligatorisch für die Einhaltung des Betreibers oder eines anderen gewonnenen Zugangs auf die Anforderung der personifizierten Person, ihre Verbreitung ohne Zustimmung des Themas personenbezogener Daten oder das Vorhandensein einer anderen Rechtsgrundlage (FZ-152) zu verhindern.
Der Betreiber ist der staatliche Körper, die Kommunalbehörde, eine rechtliche oder individuelle, organisierende und (oder) Verarbeitungspersonaldaten sowie die Bestimmung der Ziele und Wartung der personenbezogenen Datenverarbeitung (FZ-152).
Persönliches Dateninformationssystem (DVN) ist ein Informationssystem, das ein Satz personenbezogener Daten ist, die in der Datenbank enthalten sind, sowie Informationstechnologien und technische Mittel, die es ermöglichen, solche personenbezogenen Daten mit oder ohne Verwendung solcher Fonds (FZ-152) zu verarbeiten. .
Verarbeitung personenbezogener Daten - Dies sind Aktionen (Operationen) mit PDN, einschließlich der Sammlung, Systematisierung, Akkumulation, Lagerung, Verfeinerung (Aktualisierung, Änderung), Verwendung, Verteilung (einschließlich Übertragung), Depersonal, Blockierung, Zerstörung personenbezogener Daten (FZ-152).
Der Bediener während der PD-Verarbeitung sollte alle erforderlichen organisatorischen und technischen Maßnahmen ergreifen, um personenbezogene Daten vor rechtswidrigen oder zufälligen Zugang, Zerstörung, Änderungen, Sperrung, Kopieren, Verteilern von personenbezogenen Daten sowie anderen illegalen Maßnahmen zu schützen.
Was müssen Sie tun, um personenbezogene Daten zu schützen?
Zunächst ist es notwendig, zu bestimmen, welche PD-Informationssysteme und welche Art von PDNs in ihnen verarbeitet werden.
Klassifizierung des persönlichen Dateninformationssystems
Um zu verstehen, wie viel das Problem des Schutzes von PDN wesentlich ist, sowie die Auswahl der erforderlichen Methoden und Schutzmethoden von PDN, muss der Bediener klassifiziert werden. Einstufungsverfahren ist definiert auftrag des FSTEC von Russland, FSB Russlands und des Verteidigungsministeriums von Russland Nr. 55/86/20 vom 13. Februar 2008.
So bildet der Bediener eine Provision (in Ordnung des Ortes der Organisation), der nach Analysieren der Quelldaten über die Zuordnung der betreffenden Klasse entscheidet. Während der Klassifizierung wird er bestimmt:
- kategorie der verarbeiteten personenbezogenen Daten;
- der Betrag der personenbezogenen Daten;
- art des Informationssystems;
- die Struktur des Informationssystems und der Position seiner technischen Mittel;
- persönliche Datenverarbeitungsmodi;
- zahlungsmodi der Begrenzung von Benutzerzugriffsrechten;
- verfügbarkeit von Verbindungen zur allgemeinen Nutzung von Netzwerken und (oder) Netzwerken des internationalen Informationsaustauschs.
Gemäß der Bestell-Nr. 55/86/20 sind alle Informationssysteme (IP) in typisch und spezielles unterteilt.
Modellinformationssysteme. - Informationssysteme, die nur die Vertraulichkeit der persönlichen Daten erfordern.
Sondereinrichtungssysteme. - Informationssysteme, in denen unabhängig von der Notwendigkeit, die Vertraulichkeit personenbezogener Daten sicherzustellen, erforderlich ist, um mindestens eine der Eigenschaften von persönlichen Datensicherheitssicherheit als die Vertraulichkeit (geschützt vor der Zerstörung, Änderung, Blockierung, sowie anderen nicht autorisierte Aktionen).
In der Praxis stellt sich heraus, dass typische IP praktisch nein ist, da in den meisten Fällen neben der Vertraulichkeit auch die Integrität und Verfügbarkeit von Informationen erforderlich ist. Darüber hinaus sollte obligatorisch für spezielle Systeme umfassen:
- informationssysteme, in denen personenbezogene Daten in Bezug auf die Gesundheit der Personaldaten verarbeitet werden;
- informationssysteme, die eine Annahme auf der Grundlage der ausschließlich automatisierten Verarbeitung von personenbezogenen Daten sorgen, die rechtliche Auswirkungen über das Thema personenbezogener Daten erzeugen oder anderweitig seine Rechte und legitimen Interessen beeinträchtigen.
Entsprechend den Ergebnissen der Analyse der Quelldaten weist die Kommission die entsprechende Klasse zu:
klasse 1 (K1) - Informationssysteme, für die die Verletzung der festgelegten Sicherheitseigenschaften der in ihnen verarbeiteten personenbezogenen Daten zu erheblichen negativen Folgen für personenbezogene Daten führen kann;
klasse 2 (K2) - Informationssysteme, für die der Verstoß der festgelegten Sicherheitseigenschaften der in ihnen verarbeiteten personenbezogenen Daten zu negativen Folgen für personenbezogene Daten führen kann;
klasse 3 (K3) - Informationssysteme, für die der Verstoß gegen die festgelegten Sicherheitseigenschaften der in ihnen verarbeiteten personenbezogenen Daten zu geringeren negativen Folgen für personenbezogene Daten führen kann;
klasse 4 (K4) - Informationssysteme, für die ein Verstoß gegen die angegebenen Sicherheitseigenschaften der in ihnen verarbeiteten personenbezogenen Daten nicht zu negativen Folgen für personenbezogene Daten führt.
Die Ergebnisse der Klassifizierung werden durch einen Akt der Klassifizierung der CD erstellt, was die Art der sterbenden (typischen, speziellen), zugewiesenen Klasse und Bedingungen angibt, auf deren Grundlage die Entscheidung getroffen wurde.
Wie bereits erwähnt, ist die Klassifizierung für die weitere Auswahl an Methoden und Mittel zum Schutz der in den CDN verarbeiteten PDS erforderlich, da jede Klasse in den Dokumenten des FSTEC und der FSB auf den Schutz des CAD eingestellt ist, der sein wird mit etwas später gesprochen.
Die Zustimmung des PDN vorbehaltlich der Verarbeitung
Als nächstes ist es notwendig, diese Daten zu verarbeiten, aber bevor ihre Verarbeitung legitim ist, ist es notwendig, die Zustimmung des Themas personenbezogener Daten zur Verarbeitung zu erhalten (das Gesetz verhindert dabei die illegale Sammlung und die Verwendung personenbezogener Daten):
Artikel 6 FZ-152:
Die Verarbeitung personenbezogener Daten können vom Betreiber mit der Zustimmung von PD-Entitäten durchgeführt werden, außer in Fällen:
1) Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage eines Bundesgesetzes, das ihr Ziel feststellt, wobei die Bedingungen für die Erlangung der personenbezogenen Daten und des Kreises der Probanden, deren personenbezogene Daten verarbeitet werden sollen, sowie die Bestimmung der Befugnisse des Betreibers;
2) Die Verarbeitung personenbezogener Daten erfolgt, um den Vertrag auszuführen, eines der Parteien, deren Parteien Gegenstand personenbezogener Daten ist;
3) Die Verarbeitung von personenbezogenen Daten erfolgt für statistische oder andere wissenschaftliche Zwecke, unterteilt den obligatorischen Verbrauchspersonaldaten;
4) Die Verarbeitung personenbezogener Daten ist notwendig, um das Leben, die Gesundheit oder andere wichtige Interessen des Themas personenbezogener Daten zu schützen, wenn er die Zustimmung des Subjekts personenbezogener Daten nicht möglich ist;
5) Die Verarbeitung personenbezogener Daten sind notwendig, um Postleitungen nach Postorganisationen zu liefern, um Telekommunikationsbetreiber mit Nutzern von Kommunikationsdiensten für maßgebliche Kommunikationsdienste sowie für die Berücksichtigung von Beschwerden von Nutzern von Kommunikationsdiensten auszuführen.
6) Die Verarbeitung personenbezogener Daten erfolgt mit beruflichen Tätigkeiten eines Journalisten oder für die Zwecke wissenschaftlicher, literarischer oder anderer kreativer Aktivitäten, vorausgesetzt, dass die Rechte und Freiheiten des Themas personenbezogener Daten nicht verletzt werden;
7) Die Verarbeitung personenbezogener Daten, die gemäß den Bundesgesetzen veröffentlicht werden, einschließlich der personenbezogenen Daten von Personen, die staatliche Positionen, öffentliche öffentliche Zivilienstaufentakte, personenbezogene Datenkandidaten für gewählte staatliche oder städtische Positionen ersetzen.
Wenn also unser Fallverarbeitungsfall von Teil 2 von Artikel 6 des FZ-152 vorgesehen ist, ist der Erhalt der Zustimmung optional.
Es ist auch notwendig, geführt zu werden Arbeitscode, Kapitel 14. Beispielsweise, der Arbeitgeber hat das Recht, Daten über die Privatsphäre des Arbeitnehmers nur mit seiner schriftlichen Zustimmung zu erhalten und zu verarbeiten (Artikel 86 Teil 4 TC).
In Übereinstimmung mit Artikel 9 des FZ-152 ist erforderlich, um die Zustimmung des Antrags personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten zu erhalten schriftlich. Die schriftliche Zustimmung des Themas personenbezogener Daten sollte Folgendes umfassen:
- nachname, Name, Patronym, Adresse des Themas personenbezogener Daten, die Nummer des Hauptdokuments, die seine Identität, Informationen zum Datum der Ausgabe des angegebenen Dokuments bestätigen und es von der Behörde ausgeben.
- name (Nachname, Name, Patronymie) und die Adresse des Betreibers, der die Zustimmung des Themas personenbezogener Daten erhält;
- zweck der personenbezogenen Datenverarbeitung;
- die Liste der personenbezogenen Daten, auf deren Verarbeitung die Zustimmung des Themas personenbezogener Daten angegeben ist;
- eine Liste von Handlungen mit personenbezogenen Daten, deren Kommission zustimmig ist, ist die allgemeine Beschreibung der Methoden zur Verarbeitungspersonaldaten, die vom Betreiber verwendet werden;
- der Begriff, in dem die Zustimmung wirkt, sowie das Verfahren für ihren Widerruf.
Regelungen, die das Verfahren zur Verarbeitung und zum Schutz von PDN regulieren
So erhalten der Bediener (falls erforderlich) Zustimmung zur Verarbeitung von personenbezogenen Daten - personenbezogene Daten können verarbeitet werden. Aber nach Arbeitskodex und der FZ-152 muss sich entwickeln (wenn es in Übereinstimmung mit der FZ) bereitgestellt wird) Bereitstellung der Prozedur zum Speichern, Verarbeiten und Schutz personenbezogener Daten. Lass uns ihn bedingt anrufen Persönliche Datensicherheit. Persönliche Datensicherheitsbestimmungen ist ein internes (lokales) Organisationsdokument. Es gibt keine strengen Formen dieses Dokuments, es muss jedoch den Anforderungen des TC und FZ-152 erfüllt werden, und daher sollte er angezeigt werden:
Die Bereitstellung von persönlichen Datensicherheit ist vom Leiter der Organisation oder der von ihm genehmigten Person genehmigt, die Reihenfolge des Führers wird eingeführt. Der Arbeitgeber ist verpflichtet, den Angestellten mit der Situation in der Unterschrift vertraut zu machen.
Liste der Personen, die zur PD-Verarbeitung zugelassen sind
Darüber hinaus ist es notwendig zu sein liste der Personen, die zur PD-Verarbeitung zugelassen sind. Die Liste derjenigen (nach Beiträgen), denen der Zugang zu PDNs für die Erfüllung der offiziellen Aufgaben erforderlich ist. Zunächst sind diese Mitarbeiter des Personaldienstes, da sie Daten zum Angestellten sammeln und bilden, sowie Mitarbeiter der Buchhaltung. Darüber hinaus kann der Zugang zu diesen Informationen Manager von Struktureinheiten (zum Beispiel Chiefs of Departments) empfangen - und es ist auch notwendig, in der Liste nachzudenken. Alle sind jedoch berechtigt, keine Daten anzufordern, sondern nur diejenigen, die zur Durchführung spezifischer Arbeitsfunktionen erforderlich sind (z. B. zur Berechnung der Steuervorteile, die Rechnungslegung nicht alle Informationen über den Mitarbeiter, sondern nur Daten über die Anzahl der seine Angehörigen). Daher ist es ratsam, eine Liste von Informationsressourcen zu verschreiben, an die Benutzer erlaubt sind.
Die Liste der Personen, die zur PD-Verarbeitung vorgenommen wurden, kann als Anhang einer persönlichen Datensicherheitserbringung oder einem separaten Dokument ausgestellt werden, das vom Kopf genehmigt wird.
HINWEIS ROSKOMNADZOR.
Als Nächstes, gemäß Artikel 22 des FZ-152, ist der Bediener vor Beginn der Verarbeitung personenbezogener Daten verpflichtet, die autorisierte Stelle für den Schutz der Rechte von PDNs zu informieren (heute ist es der Bundesdienst für die Überwachung der Kommunikation, Informationstechnologien und Massenkommunikation (Roskomnadzor)) über die Absicht, PDN zu verarbeiten, außer in Fällen teil 2 von Artikel 22 des FZ-152:
Der Bediener hat das Recht, den autorisierten Körper zu informieren, um die Rechte personenbezogener Daten an die Verarbeitung personenbezogener Daten zu schützen:
1) im Zusammenhang mit den Themen personenbezogener Daten, die Arbeitsbeziehungen mit dem Bediener verbunden sind;
2) Erhalten vom Betreiber im Zusammenhang mit dem Vertragsschluss, dessen Partei Gegenstand personenbezogener Daten ist, wenn personenbezogene Daten nicht gilt, und nicht an Dritte ohne Zustimmung der personenbezogenen Daten vom Betreiber ausschließlich zur Durchführung des angegebenen Vertrags verwendet und Vereinbarungen mit dem Thema personenbezogener Daten abgeschlossen;
3) In Bezug auf Mitglieder (Teilnehmer) eines öffentlichen Verbands oder einer religiösen Organisation und von der einschlägigen öffentlichen Vereinigung oder der religiösen Organisation, die in Übereinstimmung mit der Rechtsvorschriften der Russischen Föderation tätig sind, um die legitimen Zielen zu erreichen, die durch ihre konstituierenden Dokumente vorgesehen sind, sofern persönlich Die Daten werden nicht ohne Zustimmung verteilt, wenn sie unter den Subjekten personenbezogener Daten schreiben;
4) Wer sind öffentlich verfügbare personenbezogene Daten;
5) einschließlich nur Nachnamen, Namen und Patronymie der personenbezogenen Datenpersonen;
6) notwendig für den Zweck des einmaligen Durchlaufs des Themas personenbezogener Daten in das Territorium, an dem der Bediener oder in anderen ähnlichen Zwecken ist;
7) In den personenbezogenen Dateninformationssystemen enthalten, die den Bundesgesetzen den Status der bundesstaatlichen Informationssysteme sowie in staatlichen Informationssystemen personenbezogener Daten aufweisen, die zur Schutz der Sicherheit des Staates und der öffentlichen Ordnung erstellt werden;
8) Bearbeitete Automatisierungs-Instrumente gemäß den Bundesgesetzen oder anderen regulatorischen Rechtsakten der Russischen Föderation, die die Anforderungen an die Sicherheit personenbezogener Daten festlegen, wenn sie sie zur Bearbeitung von persönlichen Daten sicherstellen und die Rechte der personenbezogenen Daten entsprechen
Benachrichtigungsanforderungen sind in angegeben teil 3 von Artikel 22 FZ-152. Die Form der Verarbeitungsbenachrichtigung (über die Absicht, personenbezogene Daten zu verarbeiten, kann in elektronischer Form auf der Roskomnadzor-Website ausgefüllt werden: http://pd.rsoc.ru/operators-registry/notification/form/
Jetzt können Sie mit der Verarbeitung personenbezogener Daten parallel fortfahren, um die komplexeste und problematische Frage zu lösen - Sicherstellung der Sicherheit personenbezogener Daten bei der Verarbeitung.
Sicherstellung der Sicherheit personenbezogener Daten bei der Verarbeitung
Ereignisse zum Schutz von Informationsinformationen und können aufgrund der Notwendigkeit zu erheblichen finanziellen Kosten führen:
- erhalten (falls erforderlich) Lizenz für Aktivitäten zum technischen Schutz vertraulicher Informationen des FSTEC Russlands;
- ziehen Sie den Lizenznehmer von Fstec of Russland an, um Maßnahmen umzusetzen, um ein System zum Schutz der CTF und / oder seiner Zertifizierung für die Sicherheitsanforderungen der Information zu schaffen;
- senden Sie die zuständigen Mitarbeiter, die für die Sicherstellung der Sicherheit der Informationen zu den fortgeschrittenen Schulungen zum Informationsschutz und / oder mieten Informationsschutzfachleuten gesendet werden;
- festlegen von Zertifizierungen für die Anforderungen des FSTEC of Information Protection (SRZZI), zertifizierte FSB-Kryptographie-Schutzwerkzeuge (SCJ), abhängig von der CDM-Klasse.
Etwas kann von sich selbst gemacht werden, aber irgendwo besser, um Spezialisten zu vertrauen. Der Schutz personenbezogener Daten ist jedoch notwendig, auf der einen oder andere Weise.
Artikel 19, FZ-152:
Der Bediener in der Verarbeitung personenbezogener Daten ist verpflichtet, die notwendigen organisatorischen und technischen Maßnahmen zum Schutz personenbezogener Daten vor rechtswidrigen oder zufälligen Zugang, Zerstörung, Änderungen, Blockieren, Kopieren, Verteilen personenbezogener Daten sowie anderen illegalen Aktionen zu ergreifen.
- "Regelungen zur Sicherstellung der Sicherheit personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten verarbeitet werden", die vom Dekret der Regierung der Russischen Föderation Nr. 781 vom 17. November 2007 genehmigt werden
- "Die Bestimmung über die Merkmale der Verarbeitung personenbezogener Daten ohne Verwendung von Automatisierungswerkzeugen", die vom Dekret der Regierung der Russischen Föderation Nr. 687 vom 15. September 2008 genehmigt wurden.
- "Anforderungen an Materialträger biometrischer personenbezogener Daten und -technologie zum Speichern solcher Daten außerhalb von Informationssystemen von personenbezogenen Daten", die vom Dekret der Regierung der Russischen Föderation Nr. 512 vom 6. Juli 2008 genehmigt wurden.
- Sonderanforderungen und Empfehlungen zum technischen Schutz vertraulicher Informationen (P-K) wurden von der Größenordnung der staatlichen Kommission Russlands Nr. 282 vom 30. August 2002 genehmigt (Spanplatten)
- Das grundlegende Modell der Sicherheitsbedrohungen personenbezogener Daten, wenn sie in den Informationssystemen personenbezogener Daten vom 15. Februar 2008 verarbeitet werden (extrahieren, wenn er die Bedrohungen der Informationsablagerung über die Kanäle der seitens elektromagnetischen Strahlung und des Drückens (Pemin) ist notwendig, um die Vollversion dieses Dokuments anzuwenden - Spanplatten)
- Methoden zur Ermittlung der aktuellen Bedrohungen für die Sicherheit personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten vom 15. Februar 2008 verarbeitet werden (eine Note "für den offiziellen Gebrauch" wurde vom FSTEC-Beschluss vom 16. November 2009 aufgehoben.)
- Empfehlungen zur Sicherstellung personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten vom 15. Februar 2008 verarbeitet werden (eine Note "für den offiziellen Gebrauch" wurde vom FSTEC-Beschluss vom 11. November 2009 aufgehoben)
- Die wichtigsten Aktivitäten der Organisation und der technischen Unterstützung der Sicherheit personenbezogener Daten, die in Informationssystemen personenbezogener Daten vom 15. Februar 2008 verarbeitet wurden (eine Note "für den offiziellen Gebrauch" wurde vom FSTEC-Beschluss vom 11. November 2009 aufgehoben.)
- Richtlinien für die Sicherstellung der Sicherheit personenbezogener Daten mit Hilfe der Sicherheit personenbezogener Daten, wenn sie in Informationssystemen personenbezogener Daten mit Automatisierungswerkzeugen verarbeitet werden. FSB, 21. Februar 2008
- Typische Anforderungen an die Organisation und Sicherstellung der Funktionsweise von Verschlüsselung (kryptografische) Fonds, die zum Schutz von Informationen, die keine Informationen enthalten, nicht enthalten, die ein staatliches Geheimnis enthalten, wenn sie verwendet werden, um die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen personenbezogener Daten zu gewährleisten. FSB, 21. Februar 2008
Wir werden nicht alles ausführlich alle Anforderungen in Betracht ziehen, die durchgeführt werden müssen, um die Sicherheit des PDN bei der Bearbeitung in der CDM zu gewährleisten, und es gibt viele von ihnen, und sie sind stark von der jeweiligen CDN abhängig. Lassen Sie uns an den wichtigsten Punkten wohnen, die oft Schwierigkeiten der Betreiber verursachen.
Lizenz - Holen Sie sich oder nicht?
Die Gesetzgebung sowie FSTEC-Dokumente geben uns Folgendes an:
Artikel 16, Teil 6 FZ-149 "Information, Informationstechnologien und Informationsschutz" vom 27. Juli 2006:
Bundesgesetze können Einschränkungen für die Verwendung bestimmter Mittel zum Schutz von Informationen und der Umsetzung bestimmter Arten von Informationsschutzaktivitäten festlegen.
Artikel 17, Teil 1, Absatz.11 FZ-128 "Bei der Lizenzierung bestimmter Aktivitäten der Aktivitäten" vom 8. August 2001:
In Übereinstimmung mit diesem Bundesgesetz unterliegen die folgenden Aktivitäten der Lizenzierung: technischer Schutz vertraulicher Informationen.
Dekret der Regierung der Russischen Föderation № 504 "Bei der Lizenzierung von Tätigkeiten zum technischen Schutz vertraulicher Informationen" vom 15. August 2006
Unter dem technischen Schutz vertraulicher Informationen wird ein Satz von Ereignissen und (oder) Dienstleistungen für den Schutz vor unbefugtem Zugriff, einschließlich technischer Kanäle sowie auf besondere Auswirkungen auf diese Informationen, verstanden, um ihn zu zerstören, Verzerrung oder Blockzugriff dazu.
Hauptveranstaltungen ... FSTEC
Absatz 3.14.
In Übereinstimmung mit den Bestimmungen des Bundesgesetzes Nr. 128 "zur Genehmigung bestimmter Tätigkeitsarten" und den Anforderungen des staatlichen Dekrets Nr. 504 "zur Lizenzierung technischer Schutzaktivitäten für vertrauliche Informationen" Betreiber PDNs bei der Durchführung von Maßnahmen zur Sicherstellung der Sicherheit von PDNs (vertrauliche Informationen), wenn sie in den Klassen von CID 1, 2 und 3 (Distributed Systems) verarbeitet werden lizenz für den technischen Schutz vertraulicher Informationen nach etablierter Ordnung.
Auch auf der Frage der Notwendigkeit einer Lizenzbeantwortung leiter der Abteilung des Managements Fstec Russland Nazarov Igor Grigorievich An der runden Tabelle, gehalten vom Magazin "Connect! Weltkommunikation" (http://www.connect.ru/article.asp?id\u003d9406):
Frage: Muss ich Betreiber persönliche Daten in CDN verarbeiten, um eine Lizenz für den technischen Schutz vertraulicher Informationen zu erhalten?
Igor Nazarov: In Übereinstimmung mit den FSTEC-Dokumenten ist die Lizenz für PD-Betreiber erforderlich, die in der Regel in der Regel solche Aktivitäten auf Informationssysteme 1, 2-Klasse und territorial verteilte 3-Klassen-Systeme durchführen, diese sind große staatliche Informationssysteme. Zur gleichen Zeit, für eine Klinik, Kindergärten, Apotheken usw., die mit einem Bindung von 3 und 4 Klassen, sind keine solchen Lizenzen erforderlich.
In Übereinstimmung mit dem Erlass der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781, wenn der Betreiber von einer Vereinbarung über die einschlägigen Aktivitäten in Bezug auf den Informationsschutz (PDN) mit einer autorisierten Person, dem Lizenznehmer von FSTEC, auferlegt wird von Russland, eine Lizenz zu haben, nicht unbedingt.
Für kleine Organisationen wirtschaftlicher als wirtschaftlicher, anstatt eine Lizenz von Fstec auf Visiki zur Durchführung von Sicherheitsaktivitäten von PDNs zu erhalten (Schaffung eines Schutzsystems der CTF, der Zertifizierung) an den FSTEC-Lizenznehmer, der alle erforderlichen Arbeiten durchführt.
Für große Organisationen (z. B. Telekommunikationsbetreiber, große Banken usw.) - ist es vorteilhaft, sich selbst eine Lizenz zu erhalten und alle erforderlichen Arbeiten zu erfüllen.
Das Verfahren zur Bereitstellung einer Lizenz zur Durchführung technischer Schutz vertraulicher Informationen ist definiert. Vorschriften zur Lizenzierung technischer Schutz vertraulicher Informationen"(Genehmigt vom Dekret der Regierung der Russischen Föderation vom 15. August 2006 Nr. 504). Anforderungen an die Erlangung einer Lizenz:
a) Verfügbarkeit in der Staatsantragslizenz (Lizenznehmer) von Spezialisten mit höherer Berufsbildung im Bereich des technischen Schutzes von Informationen oder höherer oder sekundärer beruflicher (technischer) Bildung und Umschulung oder fortschrittlicher Ausbildung zu technischen Schutzfragen;
b) das Vorhandensein eines Lizenzantragstellers (Lizenznehmer) der Räumlichkeiten für die Umsetzung lizenzierter Aktivitäten, die den technischen Standards und Anforderungen an den technischen Schutz von Informationen erfüllt, die von den regulatorischen Rechtsakten der Russischen Föderation sowie auf das Eigentumsrecht oder auf eine andere legitime Basis;
c) das Vorhandensein von metrologischer Kalibrierung (Kalibrierung), Kennzeichnung und Zertifizierung gemäß den Rechtsvorschriften der Russischen Föderation auf legitime Grundlage der Produktion, Prüfung und Messgeräte.
d) die Verwendung automatisierter Systeme, die vertrauliche Informationen verarbeiten, sowie die Mittel zum Schutz solcher Informationen, die das Verfahren zur Bewertung der Einhaltung der Compliance (zertifizierte und (oder) Informationssicherheitsanforderungen) gemäß den Rechtsvorschriften der Russischen Föderation bestanden haben;
e) Verwendung, die dazu bestimmt ist, lizenzierte Programme für elektronische Rechenmaschinen und Datenbanken auf der Grundlage einer Vereinbarung mit ihrem Urheberrechtsinhaber zu implementieren;
e) die Verfügbarkeit regulatorischer Rechtsakte, regulatorische und methodische Dokumente zu technischen Schutzfragen gemäß der vom Bundes- und Exportkontrolldienst festgelegten Liste.
Stadien des SwpDN
Gemäß Hauptveranstaltungen Für die Organisation und technische Unterstützung der Sicherheit der persönlichen Daten, die in persönlichen Dateninformationssystemen von FSTEC ausgearbeitet wurden, besteht die Erstellung eines personenbezogenen Datenschutzsystems (SWPDN) aus den folgenden Schritten:
1. Vor-Projekt-Bühne
1.1 Prüfung des Informatisierungsobjekts:
- festlegung der Notwendigkeit, PDNs in CPF zu verarbeiten;
- definition der Liste der zu schützenden PDNs;
- bestimmung der Bedingungen für den Ort des CDN in Bezug auf die Grenzen der kontrollierten Zone (KZ);
- bestimmung der Konfiguration und der Topologie-CD im Allgemeinen und seiner einzelnen Komponenten; physische, funktionelle und technologische Bindungen in der Nähe von Dwell- und anderen Systemen verschiedener Ebenen und Ziele;
- bestimmung von technischen Mitteln und Systemen, die in geschützten Umgehungen, ihrer Bedingungen verwendet werden;
- bestimmung von systemweiten, speziellen und angewendeten Softwaretools, die in geschützter CDN verwendet werden;
- bestimmen der Art der Verarbeitung von Informationen in CPF im Allgemeinen in einzelnen Komponenten;
- klassifizierung von cdn;
- bestimmung des Mitarbeitungsgrades an der Verarbeitung (Diskussion, Übertragung, Lagerung) der Informationen, der Art ihrer Wechselwirkung zwischen sich;
- definition und Vorbereitung einer Liste von Schwachstellen und Bedrohungen für die Sicherheit der Information, der Beurteilung der Relevanz der Sicherheitsbedrohungen für die Informationen;
- entwicklung eines privaten Bedrohungsmodells.
1.2 Entwicklung einer technischen Aufgabe zur Erstellung eines SWPDN, der enthalten muss:
- bebauung der Notwendigkeit, spSPDN zu entwickeln;
- anfangsdaten-CDN in technischen, Software, Informations- und Organisationsaspekten;
- klasse Kenned;
- ein Hinweis auf regulatorische Dokumente unter Berücksichtigung von SPSPDN und in Betrieb genommen;
- konkretisierung von Ereignissen und Anforderungen für SWPDN;
- die Liste der zertifizierten zertifizierten Informationsschutzwerkzeuge;
- begründung der Entwicklung eigener Mittel zum Schutz von Informationen mit der Unmöglichkeit oder Unangemessenheit der Verwendung von zertifizierten zertifizierten Informationsschutzwerkzeugen;
- komposition, Inhalt und Timing der Arbeit an den Stadien der Entwicklung und Implementierung von SPSPDN.
2. Stufe des Designs und des Vertriebs SPSPDN
2.1 Entwicklung eines Projekts zur Erstellung von SWPDN;
2.2 Entwicklung organisatorischer und technischer Maßnahmen zur Schutz von Informationen gemäß den Anforderungen;
2.3 Kauf von zertifizierten Informationsschutzmitteln;
2.4 Entwicklung und Umsetzung eines Genehmigungssystems des Zugangs von Benutzern und des Personals an die in die Verweildauer verarbeiteten Informationen;
2.5 SRZI installieren und konfigurieren;
2.6 Definition von Einheiten und Einzelpersonen, die für den Betrieb von Informationsschutzfonds verantwortlich sind, die Ausbildung von zugewiesenen Personen an die Besonderheiten des Schutzes von PDNs;
2.7 Entwicklung der operativen Dokumentation für die Wäure- und Informationsschutzmittel sowie Organisations- und Verwaltungsdokumentation zum Schutz von Informationen (Vorschriften, Bestellungen, Anweisungen und sonstige Dokumente);
2.8 Durchführen anderer Ereignisse, die auf den Schutz von Informationen ausgerichtet sind.
3. Stufe der Inbetriebnahme von SPSPDN
3.1 Erfahrene Betrieb von Informationsschutzwerkzeugen in einem Komplex mit anderen technischen und Software, um ihre Leistung als Teil von CDN zu überprüfen;
3.2 Annahmeprüfungen zum Schutz von Informationen über die Ergebnisse des Testbetriebs mit der Registrierung von Annahmeakten;
3.3 Evaluierung der Konformitäts-Celity-Info- Zertifizierung (Deklaration) gemäß den Anforderungen der Informationssicherheit.
4. Wartung und Wartung des Informationsschutzsystems
Organisations- und Verwaltungsdokumentation zum Schutz von PDN
Neben den technischen Lösungen des Schutzsystems der personenbezogenen Daten muss der Betreiber die Entwicklung organisatorischer und administrativer Dokumente sicherstellen, die alle Fragen der Sicherheit von PDNs bei der Verarbeitung in der PSDC und des Betriebs von SPSPDN regulieren. Es gibt viele solcher Dokumente, die wichtigsten sind:
1. PDN-Sicherheitsvorkehrung. - Zu Beginn des Artikels betrafen wir bereits den Termin und die Zusammensetzung dieses Dokuments. Nur für den Fall, dass wir wiederholen - es sollte angegeben werden:
- objektive und Aufgaben im Bereich des persönlichen Datenschutzes;
- das Konzept und die Zusammensetzung personenbezogener Daten;
- in welchen strukturellen Abteilungen und an welchen Trägern (Papier, elektronisch) diese Daten ansammeln und gespeichert werden;
- wie ist die Sammlung und Speicherung personenbezogener Daten;
- wie sie verarbeitet und verwendet werden;
- wer (nach Beiträgen) innerhalb der Firma Zugang zu ihnen hat;
- grundsätze des Schutzes von PDN, einschließlich nicht autorisierter Zugang;
- mitarbeiterrechte, um den Schutz ihrer personenbezogenen Daten zu gewährleisten;
- verantwortung für die Offenlegung vertraulicher Informationen, die sich auf personenbezogene Daten von Mitarbeitern beziehen.
2. Organisieren eines Zulassungssystems und der Rechnungslegung von Personen, die aufgenommen, um mit PDNs in PDN zu arbeiten, - Liste der Personen, die zur PD-Verarbeitung zugelassen sind (Eine Liste von Jobs für diejenigen, die der Zugriff auf PDNs zur Erfüllung der offiziellen Aufgaben benötigt wird) und der Zugriffsmatrix (sollte die Autorität der Benutzer widerspiegeln, um bestimmte Maßnahmen in Bezug auf bestimmte Informationsressourcen CDM-Lesen, Aufnahme, Anpassung, Löschung) durchzuführen. Beide Dokumente werden vom Kopf genehmigt.
3. Private Bedrohungsmodell (Wenn es mehrere begeistert gibt, wird das Bedrohungsmodell für jeden von ihnen entwickelt) - wird nach den Ergebnissen der vorläufigen Prüfung entwickelt. FSTEC von Russland bietet ein grundlegendes Modell von Bedrohungen für die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen personenbezogener Daten, nach der bei der Erstellung eines privaten Modells berücksichtigt werden sollte:
- bedrohungen des Informationslecks auf technischen Kanälen;
- die Bedrohungen des nicht autorisierten Zugangs, der mit den Aktionen von Verstößen verbunden sind, die Zugriff auf die Wohnungen haben, die die Bedrohungen direkt in den CDN umsetzen. Gleichzeitig ist es notwendig, dass potenzielle Verstöße gegen Rechtsbenutzer von Cadov in Betracht ziehen;
- die Bedrohungen des nicht autorisierten Zugangs, der mit den Handlungen von Verstößen verbunden sind, die keinen Zugang zu den Wohnungen haben, die Bedrohungen aus externen öffentlichen Kommunikationsnetzen und (oder) Netzwerken des internationalen Informationsaustauschs durchführen.
Das entwickelte Bedrohungsmodell wird vom Kopf genehmigt.
4. Basierend auf dem genehmigten Modell der Bedrohungen muss der CDM entwickelt werden pDN-Sicherheitsanforderungen beim Verarbeiten in PDNs. Die Anforderungen, wie das Bedrohungsmodell, ist ein unabhängiges Dokument, das vom Leiter der Organisation genehmigt werden sollte.
Um ein Modell von Bedrohungen und Anforderungen an den Betreiber zu entwickeln, ist es ratsam, Spezialisten von Lizenzgebühren FSTEC anzuziehen.
5. Anweisungen in Bezug auf die Sicherung von PDNs beim Bearbeiten in CPF.
Außerdem muss der Betreiber vor allen Aktivitäten zum Schutz von PDN einen offiziellen oder (wenn das Engagement groß genug ist) eine strukturelle Einheit, die für die Sicherheit von PDNs verantwortlich ist. Die Entscheidung über den Termin wird von der Reihenfolge des Kopfes ausgestellt. Die Aufgaben, Funktionen und Befugnisse eines offiziellen (Division), der für die Sicherstellung der Sicherheit von PDN verantwortlich ist, werden von internen organisatorischen und administrativen Dokumenten ( stellenbeschreibungen, Vorschriften).
Was ist notwendig, um zu zertifizieren, und was ist nicht?
Es erhöht oft, dass alle verwendeten Software (Software) zertifiziert sein muss, und die Zertifizierung ist teuer und dauert lange.
In einem der Dokumente zur Regulierung des Schutzes von PDNs wird jedoch nicht gesagt, dass alle Software zertifiziert werden sollte. Zertifiziert nach den Anforderungen von FSTEC Russlands müssen die Mittel zum Schutz von Informationen sein, jedoch keine systematische, angewandte oder spezielle Software, die nicht an einem unschädlichen Schutz teilnimmt.
Igor Nazarov: ... Zertifizierung für das Fehlen von NDV-Bedenken sicherheitsfunktionalität.Es ist das Schutzmittel und nicht die gesamte Software, die im Informationssystem verwendet wird (http://www.connect.ru/article.asp?id\u003d9406).
Heute erzählen uns FSTEC-Dokumente, die auf der Website des Federal Service für technische und Exportkontrolle angesehen werden können, erfahren Sie dabei wie folgt:
Die zertifizierten Informationen, die für sicherheitszertifizierte Systeme und Schutzsysteme zertifiziert sind, sollten verwendet werden.
Hauptveranstaltungen ...
Absatz 4.2: ... CDM sollte für nicht deklarierte Funktionen in Software und Software sowie Hardware und Analyse der System- und Anwendungssoftware gesteuert werden.
Absatz 4.3: Für software, wird bei geschützten Informationen verwendet Im Ruhezustand (Informationsschutzwerkzeuge, einschließlich integriert in die systemweite und Anwendungssoftware), sollte das entsprechende Kontrollgrad der Abwesenheit des NDV bereitgestellt werden.
Somit bestätigen Sie System- und Anwendungssoftware, wenn es nicht am Prozess des Informationsschutzes teilnimmt, ist dies nicht erforderlich - dies kann auf Antrag des Bedieners erfolgen.
Die Praxis, PD-Schutzsysteme zu erstellen, zeigt, dass es notwendig ist, zu verwenden lizenzierte Software. (System, angewendet und spezielle Software) und zertifizierter Informationsschutz- und Anti-Virusschutz (Dies kann SRZZ von NSD, Anti-Virus-Produkten, Firewalls, Intrusion-Erkennungswerkzeugen, Sicherheitsanalysen-Tools entsprechen, die einer bestimmten Klasse entsprechen). Wenn Sie eingestellt sind kryptographische Informationsschutzwerkzeuge (SPJ)Sie sollten auch nach den Anforderungen des FSB Russlands zertifiziert werden.
Es sei darauf hingewiesen, dass nur der Lizenznehmer von FSTEC berechtigt ist, zertifizierte SRSIS festzulegen, und Skzi ist ein Lizenznehmer des FSB.
Zertifizierung
Die Endphase der Schaffung des Verteidigungssystems sollte eine Zertifizierung (Erklärung der Compliance) sein - ein Komplex von organisatorischen und technischen Maßnahmen, wodurch er durch ein spezielles Dokument ein Konformitätszertifikat (Schlussfolgerung) bestätigt wird dass die Würde den Anforderungen von Normen oder anderen regulatorischen und methodischen Informationen zur Informationssicherheit entspricht. Das Vorhandensein eines gültigen Compliance-Zertifikats bietet das Recht, Informationen mit der entsprechenden Datenschutzniveau für den Zeitraum, der in dem Konformitätszertifikat festgelegt ist.
Frage: Wer kann Arbeitsplätze für die Einhaltung der Anforderungen an Gesetze und Regulierungsdokumente im Bereich der personenbezogenen Daten bestätigen?
Igor Nazarov: Zertifizierung der Mitteilung zur Einhaltung der Infohat das Recht, FSTEC-Lizenznehmer zu halten, die an Tätigkeiten zum technischen Schutz vertraulicher Informationen lizenziert sind (http://www.connect.ru/article.asp?id\u003d9406) .
Die Zertifizierung sieht eine umfassende Prüfung (ATTESTATIONSTESTS) CPF in echten Betriebsbedingungen vor, um die Einhaltung des angenommenen Schutzkomplexes an den erforderlichen PD-Sicherheitsniveau zu bewerten.
In der allgemeinen Form der Zertifizierung umfasst die Wäschungen gemäß den Sicherheitsanforderungen die folgenden Schritte:
- analyse der anfänglichen Daten auf dem zertifizierten CDN;
- durchführung einer fachkundigen Prüfung der CDN und der Analyse der entwickelten Dokumentation zur Sicherheit von PDNs zur Einhaltung der Anforderungen regulatorischer und methodischer Dokumente;
- durchführung umfassender Zertifizierungstests der CDN in echten Betriebsbedingungen mit speziellen Steuergeräten zur Steuerung der Sicherheit des nicht autorisierten Zugriffs;
- analyse der Ergebnisse umfassender Zertifizierungstests, Konstruktion und Genehmigung der Schlussfolgerung und der Einhaltung des Compliance nach den Ergebnissen der Zertifizierung.
Ein wichtiger Punkt ist das bei Änderung der Bedingungen und der Technologieverarbeitung Der PDN-Betreiber ist verpflichtet, die Organisation der Lizenznehmer zu informieren, die von der Zertifizierung von CAD durchgeführt wird. Danach entscheidet die Lizenznehmerorganisation über die Notwendigkeit einer zusätzlichen Überprüfung der Wirksamkeit des CDN-Schutzsystems.
Verantwortung und Risiken für das Versagen der Anforderungen des Gesetzes
Bei Versäumnis, den Sicherheitsanforderungen von PDNs sicherzustellen, kann der Betreiber in Bezug auf Kunden oder Mitarbeiter Risiken von Zivilklagen auftreten.
Umzugsweise kann es den Ruf des Unternehmens beeinflussen und zur erzwungenen Suspension (Kündigung) der Verarbeitung von PDNs führen, die das Unternehmen anzieht und (oder) seinen Kopf zu administrativen oder anderen Arten von Verantwortung sowie unter bestimmten Bedingungen anzieht - zu die Aktion oder die Annullierung von Lizenzen aussetzen. Darüber hinaus werden nach dem Bundesgesetz die schuldigsten Personen, die der Verstoß gegen die Anforderungen schuldig sind, von ziviler, krimineller, administrativer, disziplinarischer und sonstiger Verantwortung durch die Gesetzgebung (Artikel 24 Fz-152):
- Disziplinar (Arbeitsgesetzbuch der Russischen Föderation, Artikeln 81, 90, 195, 237, 391);
- Administrativ (Code der Russischen Föderation zu Verwaltungsstöden, Artikeln 5.27, 5.39, 13.11-13.14, 13.19, 19.11-19.7, 19.20, 20.25, 32,2);
- Verbrecher (Strafgesetzbuch der Russischen Föderation, Artikeln 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).
Und was ist das Ergebnis? ...
Viele werden nun vorgeschlagen, dass die heutigen Rechtsvorschriften und Regulierungsdokumente viele Ungenauigkeiten haben, und in etwas sogar Bettlern.
Viele Menschen hoffen, dass es im Dezember 2009 beschlossen wurde, die Fristen zur Erfüllung der Anforderungen der FZ-152 bis Januar 2011 zu verlängern.
Unabhängig davon bleibt jedoch die Notwendigkeit, den PDN zu schützen.
Daher ist es nicht notwendig, die Lösung in einem langen Box auf dieses Problem zu verschieben, und jetzt müssen Sie die erforderlichen Maßnahmen zur Sicherheit personenbezogener Daten vornehmen.
Staatsbürgerschaft
Wie folgt aus den Bestimmungen der Teile 2 und 3 des Artikels 105 des Luftcodes der Russischen Föderation, der Passagierlufttransport, der Luftverkehrsvertrag oder der Luftverkehrsvertrag von einem Ticket und einem Gepäckeingang im Fall von a Passagier-Passagier, eine Frachtrechnung, Postrechnung; Ticket, Gepäckschein, Andere Dokumente, die in der Bereitstellung von Luftverkehrsdiensten verwendet werden, können in elektronischer Form (elektronischer Transportdokument) mit der Anordnung von Informationen über die Bedingungen des Luftverkehrsvertrags in einem automatisierten Lufttransportinformationssystem ausgestellt werden. Somit sind Luftfahrtunternehmen, um die oben genannten Bestimmungen des Gesetzes umzusetzen, um Aktivitäten für die Verarbeitung personenbezogener Daten des Passagiers durchzuführen, um Dokumente zu konstruieren, die den Abschluss eines Luftverkehrsvertrags bescheinigen.
In Übereinstimmung mit der Art. 85.1 Der Luftcode der Russischen Föderation, um die Luftfahrtsicherheit zu gewährleisten, gewährleisten die Carrier die Übertragung von personenbezogenen Daten von Flugzeugpassagieren in die automatisierten zentralisierten Datenbanken personenbezogener Daten zu den Passagieren gemäß den Rechtsvorschriften der Russischen Föderation auf der Transportsicherheit und der Rechtsvorschriften der Russischen Föderation im Bereich der personenbezogenen Daten, mit internationalem Luftverkehr auch in den autorisierten Auslandsländern gemäß den internationalen Verträgen der Russischen Föderation oder der Rechtsvorschriften der Auslandsländer Abfahrt, Termin oder Transit in der von der Rechtsvorschriften der Russischen Föderation, sofern nicht anderweitig von den internationalen Verträgen der Russischen Föderation festgelegt wurde. Es ist zu bedenken, dass die Russische Föderation ein Teil einer Reihe internationaler Lufttransportkonventionen ist, insbesondere der CHICAGO-Übereinkommen ( Das "Übereinkommen zur internationalen Zivilluftfahrt" wurde am 7. Dezember 1944 in Chicago abgeschlossen, der am 16. August 2005 in Kraft getreten wurde - "Treffen der Rechtsvorschriften der Russischen Föderation", 30.10.2006, №44) , Warschauer Konvention ( "Das Übereinkommen über die Vereinheitlichung einiger Regeln, die sich auf den internationalen Luftverkehr in Warschau abgeschlossen haben, wurde am 12. Oktober 1929 in Warschau abgeschlossen, der am 13. Februar 1933 für die UdSSR in Kraft getreten wurde, eine Sammlung bestehender Verträge, Vereinbarungen und Konventionen, die von der UdSSSR geschlossen wurden mit ausländischen Staaten ausgestellt. VIII, - M., 1935, p. 326 - 339.) und die Guladahar-Übereinkommen ( Das Übereinkommen, das zusätzlich zum Warschauer-Konvention, zur Vereinigung einiger Regeln, die sich auf den internationalen Luftverkehr, der von einem nicht befindlichen Nichtunternehmen im Rahmen des Vertrags durchgeführt wird, "wird in Guadalajara am 18. September 1961 abgeschlossen, in Kraft getreten für die UdSSR 21. Dezember 1983, "Vedomosti SCSR SCSR", 15.02.1984, №7), das auch einen wesentlichen Bestandteil der gesetzlichen Regulierung von Luftfahrtunternehmen und verwandten Informationsprozessen ausmachen.
Basierend auf dem Vorstehenden, den Anforderungen von Teil 5 der Kunst. 18 FZ "auf personenbezogenen Daten" gelten nicht für die Aktivitäten von Russisch sowie ausländische Luftfahrtunternehmen, um personenbezogene Daten von Passagierbürgern für die Reservierungszwecke, die Registrierung und die Ausgabe von Direktkarten (Travel-Tickets), Gepäck Quittungen und andere Versanddokumente, da sie unter der Ausnahme fallen, dass sie nach Absatz 2 von Teil 1 der Technik vorgesehen sind. 6 Fz "auf persönlichen Daten".
Anforderungen Teil 5 Art. 18 FZ "auf personenbezogenen Daten" gelten auch nicht für die Aktivitäten von Personen, die im Namen des Luftfahrtunternehmens (autorisierter Agent) handeln, dessen Aktivitäten nach Absatz 6 der Generalluftverkehrsregeln, des Gepäcks, der Fracht und der Anforderungen angeboten werden Der Service von Passagieren, Verladern, Consignes, die von der Größenordnung des Verkehrsministeriums Russland Nr. 82 vom 28. Juni 2007 genehmigt wurden, "zur Genehmigung der Bundesluftverwaltung" Allgemeine Regeln für den Luftverkehr von Passagieren, Gepäck, Ladungen und Anforderungen an die Wartung von Passagieren, Absendern, Empfänger, "sowie andere Personen, in Bezug auf personenbezogene Daten von Personenbürgern ausschließlich für Reservierungsziele, Anmeldung und Ausgabe der letzten Flugtickets (Travel-Tickets), Gepäckeinnahmen und anderen Transportunterlagen, einschließlich in Elektronische Form in inländischen und internationalen Flügen, falls die oben genannten Aktivitäten dieser Personen durch die Rechtsvorschriften der Russischen Föderation oder zur Verfügung gestellt werden Es ist ein internationaler Vertrag, einschließlich zu Zwecken der Luftfahrtsicherheit.
Wenn die Verarbeitung personenbezogener Daten in die Ausnahmen von den Absätzen 2, 3, 4, 8 von Teil 1 von Artikel 6 des Bundesgesetzes "auf personenbezogenen Daten" fällt, werden die Bestimmungen von Teil 5 von Artikel 18 152-фз nicht angewendet . Die entsprechenden Qualifikationen der Aktivitäten der Verarbeitung personenbezogener Daten und der Sicherstellung der Einhaltung der Anforderungen der Rechtsvorschriften werden vom Betreiber personenbezogener Daten durchgeführt (Bereitstellung einer solchen Verarbeitung). Die Richtigkeit der genannten Qualifikationen und Verarbeitung in einer bestimmten Situation wird von einem autorisierten Bundeskörper bei der Durchführung von Kontrollmaßnahmen überprüft.
Waren und Dienstleistungen
Aus den Bestimmungen von Teil 5 von Artikel 18 des Bundesgesetzes "auf personenbezogenen Daten" ("Beim Sammeln personenbezogener Daten, einschließlich durch ein Informations- und Telekommunikations-Internet, ist der Betreiber verpflichtet, Einstieg, Systematisierung, Akkumulation, Lagerung, Raffinesse bereitzustellen (Aktualisieren, Ändern), extrahieren Sie personenbezogene Daten von Bürgern der Russischen Föderation mit den in der Russischen Föderation befindlichen Datenbanken, mit Ausnahme der in den Absätzen 2, 3, 4, 8 Teil 1 des Artikels 6 dieses Bundesgesetzes) und Absatz 2 von Teil 1 von Artikel 6 des Bundesgesetzes "auf personenbezogenen Daten" ("Die Verarbeitung personenbezogener Daten ist erforderlich, um die von der internationalen Vereinbarung der Russischen Föderation oder das Gesetz zur Umsetzung und Implementierung der Russische Föderation, Behörde und Verantwortlichkeiten, die der Rechtsvorschriften der Russischen Föderation zugewiesen wurden), folgt der Verarbeitung personenbezogener Daten für Zwecke und gemäß den ratifizierten Anforderungen Die Russische Föderation des Europarates des Europarates über den Schutz von Individuen in Bezug auf die automatische personenbezogene Datenverarbeitung widerspricht den Rechtsvorschriften der Russischen Föderation Regulierungsbeziehungen im Bereich des persönlichen Datenschutzes nicht. Darüber hinaus begrenzt Teil 5 von Artikel 18 152-фз nicht den grenzüberschreitenden Transfer personenbezogener Daten von Bürgern der Russischen Föderation.
Das Gesetz sorgt nicht für das Konzept der "Primärgebühr" und legt die Anforderungen an die Verarbeitung personenbezogener Daten in jeder Sammelkollektion fest, während er solche Vorgänge mit PD als Klarstellung (Aktualisierung, Änderung) von Informationen mit personenbezogenen Daten hervorhebt. Für die Zwecke des Gesetzes sind auch die Speicherprozeduren und Akkumulationsverfahren auch im Prozess des Sammelns von Informationen enthalten, das in sich nicht ein solches Konzept als "Primärkollektion" verwendet. Das Gesetz verleiht dem Bediener die Verpflichtung auf den Bediener, wenn er gesammelte personenbezogene Daten durch systematisierende, akkumulierende, lagende, raffinierende, extrahierende Datenbanken in der Russischen Föderation erhoben, ansammeln, speichern, speichern, raffinieren, extrahieren. Wenn der Bediener somit für die Berichterstattung oder Analyse von Informationen enthält, erfordert der Bediener die genannten Formen der personenbezogenen Datenverarbeitung, solche Aktionen sollten mit den in der Russischen Föderation befindlichen Datenbanken durchgeführt werden.
Die Interpretation zum Teil der primären Sammlung ist für folgende Gründe falsch. Das Gesetz sorgt nicht für das Konzept der "Primärgebühr" und legt die Anforderungen an die Verarbeitung personenbezogener Daten in jeder Sammelkollektion fest, während er solche Vorgänge mit PD als Klarstellung (Aktualisierung, Änderung) von Informationen mit personenbezogenen Daten hervorhebt. Für die Zwecke des Gesetzes sind auch die Speicherprozeduren und Akkumulationsverfahren auch im Prozess des Sammelns von Informationen enthalten, das in sich nicht ein solches Konzept als "Primärkollektion" verwendet. Das Gesetz verleiht dem Bediener die Verpflichtung auf den Bediener, wenn er gesammelte personenbezogene Daten durch systematisierende, akkumulierende, lagende, raffinierende, extrahierende Datenbanken in der Russischen Föderation erhoben, ansammeln, speichern, speichern, raffinieren, extrahieren.
In Übereinstimmung mit den Bestimmungen von Absatz 7 von Teil 4 von Artikel 16 des Bundesgesetzes Nr. 149-фз vom 27. Juli 2006 "auf Informationen, Informationstechnologien und Informationsschutz", dem Eigentümer der Informationen, dem Betreiber der Informationen Das System in Fällen, die durch die Rechtsvorschriften der Russischen Föderation festgelegt wurden, sind verpflichtet, auf dem Territorium der Russischen Föderation, den Datenbanken der Information, mit der das Sammeln, Aufnehmen, Systematisierung, Akkumulation, Lagerung, Verfeinerung (Aktualisierung, Änderung), der Extraktion bereitgestellt werden von personenbezogenen Daten von Bürgern der Russischen Föderation.
Unter Berücksichtigung der Bestimmungen von Teil 5 von Artikel 18 des Bundesgesetzes Nr. 152-фз vom 27. Juli 2006 "auf personenbezogenen Daten" (am 1. September 2015 in Kraft treten), die das beim Sammeln personenbezogener Daten feststellen, einschließlich Durch die Information des Telekommunikationsnetzes ist der Bediener verpflichtet, Aufzeichnung, Systematisierung, Akkumulation, Speicher, Verfeinerung (Aktualisierung, Änderung) bereitzustellen und personenbezogene Daten der Bürger der Russischen Föderation mit Datenbanken mit Datenbanken in der Russischen Föderation zu extrahieren, glauben, dass die Verarbeitung von PD Bürger der Russischen Föderation auf dem Territorium anderer Staaten können ausschließlich in den in den Absätzen 2, 3, 4, 8 Teil 1 von Artikel 6 des Bundesgesetzes des Bundes "auf personenbezogenen Daten" ausgeführt werden, für die es einen gibt Existenz in Teil 5 von Artikel 18 152-фз. Es sollte auch berücksichtigt werden, dass keine Partitionen an die "Haupt-Datenbank von personenbezogenen Daten und seiner" Kopie "vorhanden sind. In beiden Fällen sprechen wir über eine Datenbank, mit der personenbezogene Daten verarbeitet werden. Gleichzeitig enthält das Bundesgesetz keine Anweisungen zur allgemeinen Verbot der Verarbeitung personenbezogener Daten von Bürgern der Russischen Föderation mit den Datenbanken, die sich nicht im Territorium der Russischen Föderation befinden.
In dieser Hinsicht glauben wir, dass die Verarbeitung von personenbezogenen Daten der Bürger der Russischen Föderation durch Sammeln, Aufzeichnen, Systematisierung, Akkumulation, Lagerung, Klärung, Extraktion mit Datenbanken durchgeführt werden kann, die nicht im Territorium der Russischen Föderation in der Folgende Fälle:
- wenn solche Aktivitäten unter den in den Absätzen 2-4, 8 von Teil 1 des Artikels 6 von Artikel 6 von 2 bis 4.52-фз fallen;
- wenn solche Aktivitäten nicht unter den in den Absätzen 2-4, 8 des Teils 1 des Artikels 6 152-фз, und im Territorium der Russischen Föderation nicht fallen, werden für eine solche Verarbeitung von Personaldatendatenbanken verwendet, die einen größeren enthalten Volumen der personenbezogenen Daten oder gleich außerhalb des Territoriums der Russischen Föderation (in diesem Fall ist es für die Grenzen des Territoriums der Russischen Föderation personenbezogener Daten nicht akzeptabel, die gleichzeitig nicht innerhalb des Territoriums der Russischen Föderation sind).
Die grenzüberschreitende Übertragung personenbezogener Daten ist nicht untersagt, vorbehaltlich der Einhaltung der Anforderungen gemäß Artikel 12 des Bundesgesetzes Nr. 132-FZ. In diesem Fall müssen die grenzüberschreitende Datenübertragung ein vorbestimmtes Verarbeitungsziel aufweisen, wenn der Gegenstand personenbezogener Daten erreicht wird, die Zerstörung der übertragenen Daten auf dem Territorium eines fremden Zustands gewährleistet werden soll. In Übereinstimmung mit den angegebenen Anforderungen gilt die von den russischen Rechtsvorschriften vorgesehene Verantwortung für den Betreiber bei einem Verstoß gegen das für den vertragliche Vertrag festgelegte Vertragsverletzung.
In Übereinstimmung mit den Bestimmungen von Absatz 2 von Artikel 3 des Bundesgesetzes "auf personenbezogenen Daten" ist der Betreiber der Staatskörper, der städtische Körper, ein Recht oder Einzelperson, unabhängig oder zusammen mit anderen Organisieren und (oder) Verarbeitung persönlich Daten sowie die definierenden personenbezogenen Daten der Verarbeitungsziele, die Zusammensetzung der zu verarbeitenden Daten, die mit personenbezogenen Daten ausgeführt werden. Daher gelten die Bestimmungen des Bundesgesetzes Nr. 242-Fz für alle oben genannten Fächer. Das angenommene Bundesgesetz bindet die Verbreitung von Teil 5 von Artikel 18 152-фз nicht nur an Betreiber, wenn die personenbezogene Datenverarbeitung ihre Hauptaktivität ist, oder an Bediener, die personenbezogene Daten nur mit Informations- und Telekommunikationsnetzwerken verarbeiten.
In Übereinstimmung mit den Bestimmungen von Absatz 2 von Artikel 3 des Bundesgesetzes "auf personenbezogenen Daten" ist der Betreiber der Staatskörper, der städtische Körper, ein Recht oder Einzelperson, unabhängig oder zusammen mit anderen Organisieren und (oder) Verarbeitung persönlich Daten sowie die definierenden personenbezogenen Daten der Verarbeitungsziele, die Zusammensetzung der zu verarbeitenden Daten, die mit personenbezogenen Daten ausgeführt werden. Daher gelten die Bestimmungen des Bundesgesetzes Nr. 242-Fz für alle oben genannten Fächer. Das angenommene Bundesgesetz bindet die Verbreitung von Teil 5 von Artikel 18 152-фз nicht nur an Betreiber, wenn die personenbezogene Datenverarbeitung ihre Hauptaktivität ist, oder an Bediener, die personenbezogene Daten nur mit Informations- und Telekommunikationsnetzwerken verarbeiten. In bestehenden Plänen der Rechnung ist die Entwicklung des Entwurfs des Bundesrechts nicht vorhanden, um diese Bestimmung zu korrigieren.
Die oben genannten Anforderungen des Gesetzes werden unter anderem verteilt, um den Bediener zu verarbeiten, der als Ergebnis des Sammelns von personenbezogenen Daten, nämlich Aufzeichnung, Systematisierung, Akkumulation, Lagerung, Raffininierung (Aktualisierung, Änderung), Extraktion, verarbeitet wird.
Korrektes verstehen. 152-фз Der Begriff "Verwendung von persönlichen Daten" offenbart nicht. Für den Zweck der Interpretation unter der "Verwendung personenbezogener Daten" können Sie die Aktionen mit personenbezogenen Daten verstehen, die nicht mit anderen Formen der personenbezogenen Datenverarbeitung zusammenhängen, einschließlich der Entscheidungsfindung auf der Grundlage personenbezogener Daten, um die Umsetzung von durchzuführen Persönliche Daten (der Zweck des Sammelns von personenbezogenen Daten muss den persönlichen Daten verwenden).
Das Konzept des "Betreibers" ist in Artikel 3 des Gesetzes Nr. 152-FZ enthalten, unter dem der staatliche Körper, der kommunale Körper, rechtliche oder einzelne, unabhängig voneinander oder zusammen mit anderen Personen, die personenbezogenen Daten organisiert und (oder) verstanden wird, verstanden wird, sowie die Bestimmung der Daten der persönlichen Verarbeitungszwecke, die Zusammensetzung der mit personenbezogenen Daten, die mit personenbezogenen Daten verarbeitet werden sollen, Unter Berückhebung des Artikels 3 des Gesetzes Nr. 152-фз enthält keine Ausnahmen in Bezug auf die Person der einzelnen Vorgänge bei der Verarbeitung personenbezogener Daten sowie andere Definitionen außer dem Betreiber, einer Person, die den Zweck der Verarbeitung bestimmt Persönliche Daten oder die Durchführung individueller Maßnahmen für persönliche Verarbeitungsdaten im Zusammenhang mit den Bestimmungen des Gesetzes Nr. 152-FZ ist ein Bediener, der personenbezogene Daten handelt.
- Es ist nicht erforderlich, nach dem 1. September 2015 personenbezogene Daten zu reparieren oder zusätzlich zu nennen. Muss ich zusätzlich berichten, wo sich die Datenbanken befinden?
Die Konzepte der "wiederholten" oder "zusätzlichen" Benachrichtigung existieren nicht. Artikel 22 des Bundesgesetzes "auf personenbezogenen Daten" legt den Dienst des Betreibers vor dem Beginn der Verarbeitung personenbezogener Daten fest, um eine Benachrichtigung zu senden. In Teil 2 dieses Artikels gibt es eine Anzahl von Ausnahmen, wenn solche Benachrichtigungen nicht erforderlich sind. Im Bundesgesetz Nr. 242-Fz werden Änderungen an Teil 3 vorgenommen, die die Anforderungen an den Inhalt der Benachrichtigung definieren. Wenn die Organisation zuvor eine Benachrichtigung an Roskomnadzor an die Verarbeitung personenbezogener Daten gesendet hat, müssen die von Teil 7 dieses Artikels geführten Betreiber an den Ort des Findens einer Datenbank innerhalb von zehn Arbeitstagen berichten.
- Hat die anfängliche Sammlung personenbezogener Daten auf Papier auf Papier, gefolgt von ihrer Einführung in die elektronische Datenbank von Teil 5 von Artikel 18 des Bundesgesetzes Nr. 152-фз?
Nach den Anforderungen des Teils 5 von Artikel 18 des Bundesgesetzes Nr. 152-фз, beim Sammeln von personenbezogenen Daten, einschließlich des Informations- und Telekommunikationsnetzes "Internet", ist der Betreiber verpflichtet, Aufnahme, Systematisierung, Akkumulation, Lagerung bereitzustellen, Verfeinerung (Aktualisierung, Änderung), Entfernung von personenbezogenen Bürgern der Russischen Föderation mit den in der Russischen Föderation befindlichen Datenbanken mit Ausnahme der in den Absätzen 2, 3, 4, 8 von Teil 1 des Artikels 6 dieses Bundesgesetzes . Das grundlegende Grundsatz der Rechtsvorschriften im Bereich der personenbezogenen Daten ist der Grundsatz, nach dem die Verarbeitung personenbezogener Daten auf die Erreichung spezifischer, vorbestimmter und rechtlicher Ziele beschränkt sein sollte. In dieser Hinsicht sollte die Einführung personenbezogener Daten in das Informationssystem von personenbezogenen Daten, die zur Erfassung von Daten auf Papier auf Papier verwendet werden, als einzelner Prozess betrachtet werden, deren Umsetzung in strikter Übereinstimmung mit den Anforderungen von Teil 5 umgesetzt werden sollte von Artikel 18 des Bundesgesetzes Nr. 152-FZ. Die Trennung des angegebenen einzelnen Prozesses in getrennte Maßnahmen durch die Rechtsvorschriften der Russischen Föderation im Bereich personenbezogener Daten ist nicht bereitgestellt. Somit sind bestimmte Arten der Verarbeitung von personenbezogenen Daten, die zum Teil 5 von Artikel 18 des Bundesgesetzes Nr. 152-FZ bereitgestellt werden, einschließlich der Erhebung personenbezogener Daten auf Papier, gefolgt von ihrer Einführung in die elektronische Datenbank, als ein einziger Prozess im Rechtsfeld der Gesetzgebungsnorm. Verpflichtet, personenbezogene Daten im Territorium der Russischen Föderation zu speichern.