“Закон 152-ФЗ “”О персональных данных”””

Содержание
  1. Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных
  2. Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?
  3. Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона
  4. Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?
  5. Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1
  6. Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России
  7. Чем вам грозит закон 152-ФЗ?
  8. Навигация по статье:
  9. Суммы штрафов
  10. Какие условия должен соблюдать сайт и что вам нужно внедрить?
  11. Что делать в том случае если окажется, что сервер с вашим сайтом находится за пределами России?
  12. Как можно проверить свой сайт на соответствие требованиям закона №152-ФЗ?
  13. Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных
  14. Случаи, когда уведомление Роскомнадзора не требуется
  15. Шаг 5. Проверить расположение баз данных
  16. Кто попадает под действие закона?
  17. Как защищаются персональные данные?
  18. Ответственность за нарушение правил работы с персональными данными
  19. Что является персональными данными по закону
  20. Об обработке и использовании персональных данных
  21. Статья 1. Сфера действия настоящего Федерального закона
  22. Закон о персональных данных 152-ФЗ для владельцев сайтов
  23. Закон о персональных данных N 152-ФЗ, его суть
  24. Настройка формы подписки
  25. Документы политики конфиденциальности и пользовательское соглашение
  26. Фз 152 о защите персональных данных
  27. Общие положения
  28. Особенности использования персональных данных по ФЗ 152
  29. Какие были внесены поправки?
  30. Скачать последнюю редакцию ФЗ 152

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

"Закон 152-ФЗ ""О персональных данных"""

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.

Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.

Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

  • с какой целью вы собираете персональные данные;  
  • не собираете ли вы их больше, чем нужно для ваших целей;
  • сколько храните персональные данные;
  • есть ли политика обработки персональных данных;
  • собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

  • Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
  • Политика оператора в отношении обработки ПДн (тут есть рекомендации по оформлению).
  • Приказ о назначении ответственного за организацию обработки ПДн.  
  • Должностная инструкция ответственного за организацию обработки ПДн.
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.  
  • Перечень информационных систем персональных данных (ИСПДн).
  • Регламент предоставления доступа субъекта к его ПДн.
  • Регламент расследования инцидентов.
  • Приказ о допуске работников к обработке ПДн.
  • Регламент взаимодействия с регуляторами.  
  • Уведомление РКН и пр.
  • Форма поручения обработки ПДн.
  • Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.

Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных.

Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону  и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать  документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
Источник: п.3, статья 6, 152-ФЗ

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Источник: п.3, статья 6, 152-ФЗ

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ.

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.

УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.

На уровень защищенности влияют следующие моменты:

  • тип персональных данных (специальные, биометрические, общедоступные и иные);
  • кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
  • количество субъектов персональных данных – более или менее 100 тыс.
  • типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет  УЗ-3.

Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г.

 К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком “+” обязательные меры – они как раз и рассчитаны в таблице ниже.

Если оставить только те, которые нужны для УЗ-3, то получится 4.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

  • заинтересован продать побольше сертифицированных СЗИ;
  • будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21  «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:

Обеспечение безопасности персональных данных достигается, в частности:[…]

3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

Источник: https://uni.dtln.ru/digest/mify-o-152-fz-kotorye-mogut-dorogo-oboytis-operatoru-personalnyh-dannyh

Чем вам грозит закон 152-ФЗ?

"Закон 152-ФЗ ""О персональных данных"""

Приветствую вас, дорогие друзья!

Сегодня я расскажу вам об одном, очень важном нововведении, которое будет необходимо как можно быстрее внедрить у себя на сайте. Для того, что бы в будущем избежать штрафов от Роскомнадзора.

Речь сегодня пойдет о поправках к федеральному закону РФ «О персональных данных», №152-ФЗ. Дело в том, что с 1 июля 2017 года вступают в силу ряд поправок к этому закону, которые, ужесточают требования к обработке персональных данных пользователей.

Если у вас есть сайт, на котором у вас есть простейшая форма подписки, в которой пользователь вводит свой e-mail или форма заказа звонка, то вы автоматически считаетесь оператором обработки персональных данных, попадаете под закон N 152-ФЗ «О персональных данных», и вам могут предъявить штрафы.

В соответствии с этим законом персональными данными считаются фамилия, имя, отчество, e-mail, номер мобильного телефона, номер карты банка, адрес, расчетный счет, а так же IP-адрес и т.д.

Обработка персональных данных подразумевает под собой не обязательно то, что вы что-то с ними делаете, пересылаете куда-то или вносите в какие-то базы. То что вы их собираете и храните у себя в базе данных, это уже считается обработкой персональных данных.

Суммы штрафов

Вот некоторые примеры по суммам штрафов, которые могут предъявляться за нарушение данного закона.

  • Если под формой обратной связи нет ссылки на соглашение на обработку персональных данных, то штраф может составлять для компании 50 тыс. руб.
  • Если на сайте нет политики конфиденциальности, то штраф может составлять 10 тыс. руб. для ИП и для компании 30 тыс. руб.

Поэтому, если у вас есть сайт компании, или вы являетесь ИП, и у вас есть лендинг или интернет-магазин, просто сайт-визитка, или блог на котором есть форма подписки, или форма комментариев, то вам необходимо будет внедрить у себя на сайте несколько моментов, которые позволят вам избежать этих штрафов.

Какие условия должен соблюдать сайт и что вам нужно внедрить?

  1. 1.Текст о согласии пользователя на обработку его персональных данных.

    Под каждой формой на вашем сайте, в которую пользователь вводит свой e-mail или имя, или номер телефона, или адрес, номер карты или какие-то еще данные, нужно будет разместить небольшой текст, в котором говорится о том что заполняя данную форму человек даёт согласие на обработку своих персональных данных.

    И так же нужно будет добавить ссылку для перехода на страницу, с описанием основных положений по обработке персональных данных.

    Выглядеть это может следующим образом:

    При нажатии на ссылку подробнее у вас открывается отдельная страница или всплывающее окно, либо же какой-нибудь спойлер с текстом в котором указаны основные положения по сбору и обработке персональных данных.

  2. 2.Разместить на сайте в общем доступе ссылку на документ, регулирующий обработку персональных данных на сайте. Другими словами вам нужно будет сформулировать и добавить себе на сайт текст для политики конфиденциальности.

    В данном архиве я подготовила несколько примеров такого текста. Вы можете их скачать и переделать под себя.

    Ссылку на данный текст вам нужно будет разместить где-нибудь, в шапке сайта, или в подвале, или в сайдбаре, чтобы любой посетитель смог по ней перейти.

    Так же желательно, что бы ссылка на эту страницу так же находилась под каждой формой на вашем сайте. К примеру, вот так:

  3. 3.Вывести предупреждение о сборе метаданных пользователя. Это cookies, данные об IP-адресе и местоположении. Я думаю, что вы все прекрасно знаете, что когда посетитель посещает ваш сайт, то вы можете получать информацию о его местоположении, его IP-адресе и т.д. Так вот, в соответствии с законом «О персональных данных» №152-ФЗ, вам нужно предупреждать своих посетителей о том, что вы осуществляете сбор таких данных.

    Как это сообщение может выглядеть? Это может быть либо какое-то всплывающее окно, которое будет высвечиваться, когда посетитель заходит к вам на сайт или текст мелким шрифтом, размещенный где-нибудь внизу сайта. То есть главное, что бы у вас такое предупреждение на сайте присутствовало, и к вам нельзя было придраться.

    Сформулировать это предупреждение можно следующим образом:

    «Внимание! Находясь на данном сайте, вы подтверждаете свое согласие на сбор метаданных».

    Ну или что то наподобие этого.

  4. 4.Хостинг и база данных с персональными данными должны располагаться на территории России. Вам нужно будет уточнить у техподдержки своего хостинга, где находятся сервера, на которых расположен ваш сайт.

Так же, у меня на сайте есть статья, в которой я рассказываю об одном сервисе для тестирования скорости загрузки сайта, и при его помощи можно определить местоположение вашего сервера.

Что делать в том случае если окажется, что сервер с вашим сайтом находится за пределами России?

  1. 1.Первое, что вы можете сделать, это написать в техподдержку хостинга и поинтересоваться у них, можно ли перенести сайт на сервер, расположенный в России.

    Как правило, у многих хостинг-провайдеров есть несколько серверов, размещенных в различных странах, и, в принципе, они могут вам все это организовать.

  2. 2.Если же такой вариант, по каким-либо причинам, вам не подходит, то вы можете сменить хостинг. Однако, я вам не советую делать сразу.

    Потому, что я сталкивалась с информацией, что конкретно данное требование относительно расположения базы данных на территории России, не относится интернет-магазинам, лендингам, и сайтам по оказанию бытовых услуг.

    То есть, вы можете пока что не обращать на это внимание и оставить все как есть.

    Ну а если вдруг вы получите уведомление от Роскомнадзор о том, что у вас есть нарушение, то вам необходимо будет его устранить чтобы не получить штраф.

Как можно проверить свой сайт на соответствие требованиям закона №152-ФЗ?

Я нашла один онлайн сервис, который позволяет сделать бесплатную проверку сайта на соответствие данному закону.

Здесь вы можете, после внедрения первых трёх пунктов описанных в данной статье, ввести адрес своего сайта и нажать на кнопку «Проверить». Если всё хорошо то у вас высветится такое уведомление:

Так же, вы можете оставить здесь заявку на бесплатный аудит вашего сайта.

Помимо проверки этот сервис оказывает платные услуги по подготовке необходимого пакета документов, который нужно разместить у себя на сайте.

Здесь есть у них три тарифа, с указанием стоимости и степени риска, и если вы хотите себя перестраховать, то можете воспользоваться их услугами.

Вот ссылка на это сервис:

Как видите, те нововведения, которые вам необходимо сделать у себя на сайте, не такие уж и сложные, но я вам советую не пренебрегать данной информацией, и все-таки добавить на свой сайт все необходимые сообщения и правовые документы. Просто для того, что бы перестраховаться и не подвергать себя лишним рискам.

Источник: https://impuls-web.ru/chem-vam-grozit-zakon-152-fz/

Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

"Закон 152-ФЗ ""О персональных данных"""

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3. Утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ.

4.

Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Шаг 5. Проверить расположение баз данных

Узнайте у своего хостинг-провайдера точный адрес сервера вплоть до здания. Если сервер находится за пределами РФ, рекомендуется перенести сайт — иначе придется составлять Регламент по трансграничной передаче данных, да и у РКН будет больше вопросов.

Помните LinkedIn? Именно за хранение данных вне РФ его и заблокировали еще в 2016 г.

Кто попадает под действие закона?

Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:

  • сведения о сотрудниках;
  • клиентская база;
  • информация о пользователях интернет-источников.

Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.

Как защищаются персональные данные?

Закон о защите персональных данных № 152-ФЗ регламентирует несколько направлений защиты конфиденциальной информации о гражданах:

  • законодательные меры — государство обязывает оператора совершать определенные действия, в то же время вводит запрет на ряд операций;
  • технические — оператор предпринимает ряд мер, которые делают невозможным или существенно затрудняют доступ третьих лиц к сведениям о гражданах.

    Ответственность за нарушение правил работы с персональными данными

    Законодательство РФ предусматривает 3 вида ответственности:

    • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
    • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
    • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

    Что является персональными данными по закону

    Под персональными данными понимается любого рода информация о гражданах, которая настоящим законодательством отнесена к конфиденциальной и которой предоставляется защита. Сюда можно отнести:

    1. Паспортные данные.
    2. Частная жизнь.
    3. Информация о работе, составе семьи.
    4. Номер телефона также является защищаемой законом информацией.

    В понятие частной жизни входит также и личное пространство, переписка и другие данные. В документе о сохранении конфиденциальности, как правило, указывается, какие именно данные стороны не имеют права разглашать.

    Об обработке и использовании персональных данных

    Практическое применение личных сведений гражданина должно происходить в соответствие с четкими требованиями, установленными на законодательном уровне. Основные определения в сфере охраны персональных данных содержатся не только в 152 федеральном законе, но и в Конституции Российской Федерации.

    Можно выделить основные принципы обработки:

    1. Обязательное согласие субъекта персонализации.
    2. Специально предназначенная цель использования.
    3. Участие субъекта в юридически значимом процессе.

    Без прямого соблюдения этих принципов обработка персональных данных может быть признана незаконной, что повлечет за собой ответственность в рамках гражданского, уголовного или административного законодательства.

    Статья 1. Сфера действия настоящего Федерального закона

    1.

    Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Источник: http://transcbank.ru/medicinskoe-pravo/11151-federalnyy-zakon-ot-27-iyulya-2006-g-n-152-fz-o-personalnykh-dannykh.html

Закон о персональных данных 152-ФЗ для владельцев сайтов

"Закон 152-ФЗ ""О персональных данных"""

Приветствую тебя, уважаемый читатель. Сейчас (июнь 2017 г.) на каждом углу и почти в каждой рассылке кричат, что если не исполните страшный Федеральный закон о персональных данных N 152-ФЗ, то Вас оштрафуют на крупную сумму.

Я предлагаю разобраться что с этим делать и как подготовить свой сайт чтобы избежать негативных последствий для себя и своего любимого детища.

Итак с 01.07.2017 вступают в силу поправки к вышеуказанному закону, который регулирует деятельность по хранению, обработке и защите персональных данных граждан РФ.

За неисполнение этого закона, наше любимое государство якобы начнет безбожно штрафовать и наживаться на бедных (а может и не очень бедных) владельцев сайтов.

Все описываемое ниже действия применимы для блоггеров, для юридических лиц более строгие правила.

Закон о персональных данных N 152-ФЗ, его суть

Глубоко копаться не будем в формулировках закона 152-ФЗ «О персональных данных», скажу лишь, что то под раздачу попадают сайты на которых есть возможность сбора информации о пользователе:

  • Обратная связь (форма обратной связи, обратный звонок, комментирование, он-лайн консультанты);
  • Регистрация пользователей через соц. сети;
  • Продажи товара, услуг (требуется ввод адреса, телефона, E-Mail)

Персональные данные

Что же необходимо делать и как оформить сайт, чтобы не попасть под штраф?

  1. Хостинг и база должны располагаться на территории РФ;
  2. Должен быть пункт на согласие на обработку данных (об этом поговорим ниже);
  3. На сайте должны присутствовать документы описывающие политику конфиденциальности и пользовательское соглашение.

Я совсем не юрист и составить такие документы, отвечающие всем юридическим нормам для меня не представляется возможным.

Всего предусмотрено 7 нарушений правок об ответственности за неисполнение закона, сумма штрафа за которые составляет от 1000 до 75000 руб.

Итак какие действия надо произвести, чтобы исполнить закон о персональных данных и не попасть под штраф.

Настройка формы подписки

Если у Вас на сайте есть форма подписки, а таковая наверняка присутствует, но обязательно необходимо предупредить клиента о сборе персональных данных. Например у себя на форме подписки я написал «Согласен (-на) с политикой конфиденциальности и обработки персональных данных» (форма подписки находится сразу под статьей).

Формулировку можно изменить, а также можно подсмотреть как это сделано на авторитетных сайтах.

Если у Вас форма подписки сгенерирована сервисом рассылки, то проблем никаких не должно быть. На сегодняшний день, любой уважающий себя сервис рассылок предлагает установить флажок согласия на обработку персональных данных, это уже обязательное условие.

Документы политики конфиденциальности и пользовательское соглашение

Начиная с 01.07.2017 на сайте должны присутствовать следующие документы:

  1. Политика конфиденциальности
  2. Пользовательское соглашение

Как их правильно составить спросите Вы? Не знаю как, отвечу я. Если у Вас личный блог не стоит заморачиваться самостоятельным написанием данных трактатов, хотя если Вы юрист, перо Вам в руки.

Я же предлагаю воспользоваться одним простым сервисом, генерирующим необходимые документы.

Переходим на этот сайт 152фз.рф и для начала проверяем свой сайт на соответствие ФЗ 152. Для этого необходимо ввести ссылку на блог.

Проверьте свой сайт на соответствие ФЗ 152

Скорее всего на Вашем сайте будет такая же надпись. Ну ничего страшного, далее мы все исправим и создадим необходимые нам документы. Переходим ниже и выбираем тариф «Авось». Для блогов это вполне подходит. Но если у Вас действующий интернет магазин или корпоративный сайт необходимо воспользоваться тарифами Профи или Юрист. Различия между тарифами расписаны на сайте.

Создаем необходимые документы

В процессе прохождения процедуры Вам необходимо будет ответить на ряд вопросов, касающихся ваших личных данных и направленности сайта (сильно не заморачивайтесь на ответах). Как результат Вы получите ссылки на два документа в формате pdf, а также скрипт, который можно вставить на сайт.

Со скриптом я связываться не стал (хотя это наиболее простой вариант), т.к. если исчезнет сайт 152фз.рф то и скрипт станет бесполезным. А вот за готовые файлы большое спасибо сервису. Но есть небольшое НО, файлы зашифрованы и сконвертировать в редактируемый формат (например ворд) не получится.

Но как говориться все решаемо. Вводите в поисковике фразу «снять блокировку с pdf», и Вам на выбор готовы помочь несколько онлайн сервисов. Я воспользовался первым в выдаче и все получилось.

Далее дело техники:

  • Создаем две отдельные страницы нашего сайта, отвечающие за политику конфиденциальности и пользовательское соглашение;
  • Ссылки на эти страницы добавляем в футер сайта (необходимо чтобы они были видны из любого места сайта);

Источник: https://leonov-do.ru/infobiznes/zakon-o-personalnyh-dannyh.html

Фз 152 о защите персональных данных

"Закон 152-ФЗ ""О персональных данных"""
Бесплатная консультация юриста по телефону:

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

  • В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
  • Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
  • В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
  • В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
  • В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
  • В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 — сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

  • Федеральный орган государственной власти;
  • Муниципальные органы;
  • Органы государственной власти субъектов Российской Федерации;
  • Органы местного самоуправления;
  • Иные государственные органы.

Использование данных лицами разрешено в случаях:

  • Предварительно определены законные и действительные цели для использования;
  • Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
  • Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе».

В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона 261 ФЗ Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна.

Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно.

В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

  • ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
  • Информация из доверенности при наличии представителя субъекта;
  • ФИО, адрес и должность оператора, получающего документ;
  • Цель, для чего нужны данные субъекта;
  • Перечень персональной информации субъекта, которая будет использована оператором;
  • Список действий оператора, которые он произведет по согласию субъекта;
  • Срок использования и способы отзыва документа;
  • Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц.

Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации.

Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать по ссылке.

Источник: https://lawlinks.ru/fz-152-o-zashhite-personalnyx-dannyx/

О бизнесе
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: