Защита персональных данных правительство

Сегодня мы раскроем тему: "Защита персональных данных правительство", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями и дополнениями)

Постановление Правительства РФ от 21 марта 2012 г. N 211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

С изменениями и дополнениями от:

20 июля 2013 г., 6 сентября 2014 г., 15 апреля 2019 г.

В соответствии с частью 3 статьи 18.1 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

Утвердить прилагаемый перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

Председатель Правительства
Российской Федерации

Перечень
мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами

С изменениями и дополнениями от:

20 июля 2013 г., 6 сентября 2014 г., 15 апреля 2019 г.

1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

Информация об изменениях:

Подпункт «а» изменен с 25 апреля 2019 г. — Постановление Правительства России от 15 апреля 2019 г. N 454

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее — служащие);

Информация об изменениях:

Постановлением Правительства РФ от 6 сентября 2014 г. N 911 в подпункт «б» внесены изменения

б) утверждают актом руководителя государственного или муниципального органа следующие документы:

правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

правила рассмотрения запросов субъектов персональных данных или их представителей;

правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

правила работы с обезличенными данными в случае обезличивания персональных данных;

перечень информационных систем персональных данных;

перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;

перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных»;

Информация об изменениях:

Постановлением Правительства РФ от 6 сентября 2014 г. N 911 подпункт «з» изложен в новой редакции

з) в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

Утвержден Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных (ПД) и принятыми в соответствии с ним нормативными правовыми актами. Он касается операторов, являющихся муниципальными или госорганами.

Читайте так же:  Встречный иск наследство

В частности, операторы должны назначить ответственных за организацию обработки ПД из числа служащих соответствующего органа. Также необходимо издать ряд актов. Это правила обработки ПД, рассмотрения запросов субъектов последних или их представителей, работы с обезличенными данными, перечень информсистем ПД, типовая форма согласия на обработку и др.

Документы, определяющие политику в отношении обработки ПД, публикуются на официальном сайте соответствующего органа в течение 10 дней после их утверждения.

Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Настоящее постановление вступает в силу по истечении 7 дней после дня его официального опубликования

Текст постановления опубликован в «Российской газете» от 30 марта 2012 г. N 70, в Собрании законодательства Российской Федерации от 2 апреля 2012 г. N 14 ст. 1626

В настоящий документ внесены изменения следующими документами:

Постановление Правительства РФ от 15 апреля 2019 г. N 454

Изменения вступают в силу с 25 апреля 2019 г.

Постановление Правительства РФ от 6 сентября 2014 г. N 911

Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

Постановление Правительства РФ от 20 июля 2013 г. N 607

Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

Источник: http://base.garant.ru/70152982/

Персональные данные

Утверждено
приказом заместителя Губернатора Тульской области – руководителя аппарата правительства Тульской области – начальника главного управления государственной службы и кадров аппарата правительства Тульской области
от 04.07.2016 № 10
(в редакции приказа от 29.05.2019 № 7)

ПОЛОЖЕНИЕ,
определяющее политику аппарата правительства Тульской области
в отношении обработки персональных данных

1. Общие положения

1. Настоящее Положение разработано в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяет принципы и цели обработки персональных данных и реализуемые меры по обеспечению безопасности персональных данных при их обработке в аппарате правительства Тульской области (далее – аппарат).

2. Персональные данные являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

2. Принципы и цели обработки персональных данных

3. Аппарат в своей деятельности по обработке персональных данных руководствуется следующими принципами:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4. Обработка персональных данных субъектов, указанных в разделе 3, осуществляется в следующих целях:

4.1. Организация работ по формированию кадрового состава органов исполнительной власти Тульской области и аппарата, включая процедуры, связанные со служебными (трудовыми) отношениями, ведение кадрового делопроизводства, обеспечение процедур прохождения государственной гражданской службы, обеспечение проведения конкурсов на замещение вакантных должностей гражданской службы и на включение в кадровые резервы органов исполнительной власти Тульской области и аппарата, формирование и ведение кадровых резервов.

4.2. Обеспечение реализации процедур по представлению к награждению государственными наградами Российской Федерации, поощрениями Президента Российской Федерации, ведомственными наградами, наградами Тульской области, поощрениями Губернатора Тульской области и правительства Тульской области.

4.3. Прием, обработка и регистрация документов, обращений, направление их на рассмотрение, рассмотрение, исполнение; регистрация и отправка писем, телеграмм, иной корреспонденции, ответов авторам обращений и исходящих документов.

4.4. Регистрация и передача документов стороне, с которой заключается контракт, договор, соглашение, протокол о намерениях.

4.5. Регистрация и осуществление выпуска указов и распоряжений Губернатора Тульской области, постановлений и распоряжений правительства Тульской области, приказов по основной деятельности, по личному составу, по административно-хозяйственным вопросам.

4.6. Подготовка и оформление протоколов и перечней поручений по итогам заседаний, совещаний, а также их выпуск, исполнение и контроль за исполнением решений.

4.7. Организационное обеспечение заседаний, совещаний, мероприятий с участием Губернатора Тульской области, первого заместителя Губернатора Тульской области – председателя правительства Тульской области, первого заместителя Губернатора Тульской области, заместителя Губернатора области – руководителя аппарата правительства Тульской области – начальника главного управления государственной службы и кадров аппарата правительства Тульской области, заместителей Губернатора Тульской области, заместителей председателя правительства Тульской области, а также мероприятий, проводимых по их поручению.

4.8. Аккредитация журналистов средств массовой информации при правительстве Тульской области.

4.9. Оформление пропусков для парковки у здания правительства Тульской области.

4.10. Оформление пропусков для прохода в здания правительства Тульской области.

4.11. Организация работ по материально-техническому оснащению помещений, обеспечению должностных лиц материально-техническими средствами, организация технической эксплуатации и контроль за использованием средств телекоммуникаций; контроль перемещений товарно-материальных ценностей.

4.12. Обеспечение в установленном порядке бухгалтерско-финансовой деятельности правительства Тульской области, органов исполнительной власти Тульской области, не являющихся получателями средств бюджета Тульской области, и аппарата.

4.13. Реализация прав государственных гражданских служащих Тульской области на получение единовременной субсидии на приобретение жилого помещения.

4.14. Предоставление служебных жилых помещений специализированного жилищного фонда Тульской области.

4.15. Организация деятельности внутри подразделений аппарата.

4.16. Публикация контактной информации государственных гражданских служащих и работников подразделений аппарата на официальном сайте правительства Тульской области.

4.17. Работа с кадровым резервом в подразделениях аппарата.

4.18. Осуществление мероприятий, обеспечивающих готовность подразделений аппарата к работе в условиях военного времени.

3. Категории субъектов персональных данных

5. В аппарате определены следующие категории субъектов, персональные данные которых в нем обрабатываются:

5.1. Лица, замещающие государственные должности Тульской области.

5.2. Государственные гражданские служащие Тульской области.

5.3. Лица, замещающие в органах исполнительной власти Тульской области и аппарате должности, не отнесенные к должностям государственной гражданской службы Тульской области.

Читайте так же:  От уплаты судебных расходов освобождаются

5.4. Лица, претендующие на замещение должностей, указанных в подпунктах 5.1 – 5.3.

5.5. Лица, замещающие муниципальные должности Тульской области.

5.6. Муниципальные служащие органов местного самоуправления Тульской области.

5.7. Руководители государственных и муниципальных учреждений Тульской области.

5.8. Депутаты Государственной Думы Федерального Собрания Российской Федерации.

5.9. Члены Совета Федерации Федерального Собрания Российской Федерации.

5.10. Помощники субъектов, указанных в подпунктах 5.8 – 5.9.

5.11. Лица, представленные к награждению.

5.12. Лица, ответственные за организацию работы по награждению.

5.13. Должностные лица государственных органов, органов государственной власти, органов местного самоуправления, иных органов, учреждений, организаций, общественных объединений; лица, направившие обращение.

5.14. Лица, чьи персональные данные содержатся в правовых актах Губернатора Тульской области и правительства Тульской области.

5.15. Лица, обратившиеся с вопросом к должностному лицу.

5.16. Лица, участвующие в мероприятиях с участием Губернатора Тульской области, первого заместителя Губернатора Тульской области – председателя правительства Тульской области, первого заместителя Губернатора Тульской области, заместителя Губернатора области – руководителя аппарата правительства Тульской области – начальника главного управления государственной службы и кадров аппарата правительства Тульской области, заместителей Губернатора Тульской области, заместителей председателя правительства Тульской области, а также в мероприятиях, проводимых по их поручению.

5.17. Представители территориальных управлений федеральных органов исполнительной власти, организаций Тульской области и иных органов и организаций.

5.18. Журналисты средств массовой информации.

5.19. Лица, обратившиеся за оформлением пропуска для прохода в здание правительства Тульской области и (или) для парковки у здания правительства Тульской области.

5.20. Лица, имеющие право на предоставление служебных жилых помещений специализированного жилищного фонда Тульской области.

5.21. Супруги, несовершеннолетние дети и иные близкие родственники субъектов, указанных в подпунктах 5.1 – 5.4, 5.10, 5.20.

5.22. Лица, поставляющие товары, оказывающие услуги и (или) выполняющие работы в соответствии с договором.

5.23. Лица, состоящие в договорных и (или) иных гражданско-правовых отношениях с аппаратом или с правительством Тульской области.

4. Перечень мер по обеспечению безопасности персональных данных при их обработке

6. В аппарате при обработке персональных данных принимаются все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

определением ответственного за организацию обработки персональных данных;

утверждением локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных;

ознакомлением государственных гражданских служащих и работников аппарата, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных государственных гражданских служащих и работников;

выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», при обработке персональных данных, осуществляемой без использования средств автоматизации;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

учетом машинных носителей персональных данных;

выявлением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных;

удалением или уточнением неполных или неточных данных;

уничтожением либо обезличиванием персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Государственные гражданские служащие и работники аппарата, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Источник: http://tularegion.ru/governance/government/appr/personalnye-dannye/

Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Правительством РФ установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем

Определено, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и таким лицом должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке.

Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Определение типа угроз безопасности персональных данных, актуальных для системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами уполномоченных органов.

При обработке персональных данных в системах устанавливаются 4 уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.

Источник: http://www.audit-it.ru/law/personnel/508658.html

Закон «О персональных данных»

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

С изменениями и дополнениями от:

25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г.

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

ГАРАНТ:

См. комментарии к настоящему Федеральному закону

Президент Российской Федерации

Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Читайте так же:  Заявление о принятии срока исковой давности

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.

Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.

Видео (кликните для воспроизведения).

Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.

Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

В настоящий документ внесены изменения следующими документами:

Федеральный закон от 27 декабря 2019 г. N 480-ФЗ

Изменения вступают в силу с 29 декабря 2020 г.

См. будущую редакцию настоящего документа

Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ

Федеральный закон от 31 декабря 2017 г. N 498-ФЗ

Изменения вступают в силу с 30 июня 2018 г.

Федеральный закон от 29 июля 2017 г. N 223-ФЗ

Изменения вступают в силу с 10 августа 2017 г.

Федеральный закон от 1 июля 2017 г. N 148-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 22 февраля 2017 г. N 16-ФЗ

Изменения вступают в силу с 1 марта 2017 г.

Федеральный закон от 3 июля 2016 г. N 231-ФЗ

Изменения вступают в силу с 1 января 2017 г.

Федеральный закон от 21 июля 2014 г. N 242-ФЗ

Изменения вступают в силу с 1 сентября 2015 г.

Федеральный закон от 21 июля 2014 г. N 216-ФЗ

Изменения вступают в силу с 1 января 2015 г.

Федеральный закон от 4 июня 2014 г. N 142-ФЗ

Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 21 декабря 2013 г. N 363-ФЗ

Изменения вступают в силу с 1 июля 2014 г.

Федеральный закон от 23 июля 2013 г. N 205-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 5 апреля 2013 г. N 43-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

Федеральный закон от 25 июля 2011 г. N 261-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.

Федеральный закон от 4 июня 2011 г. N 123-ФЗ

Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона

Федеральный закон от 23 декабря 2010 г. N 359-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 29 ноября 2010 г. N 313-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 227-ФЗ

Изменения вступают в силу с 1 января 2011 г.

Федеральный закон от 27 июля 2010 г. N 204-ФЗ

Изменения вступает в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 28 июня 2010 г. N 123-ФЗ

Изменения вступают в силу с 1 июля 2010 г.

Федеральный закон от 27 декабря 2009 г. N 363-ФЗ

Изменения вступают в силу со дня официального опубликования названного Федерального закона

Федеральный закон от 25 ноября 2009 г. N 266-ФЗ

Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/

Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое отменяет Постановление от 17.11.2007 № 781вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Полочка первая. Соответствие закону. Выпускв свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

Читайте так же:  Гражданское правоотношение гражданско правовая ответственность

· возможного вреда субъекту персональных данных,

· объема обрабатываемых персональных данных,

· содержания обрабатываемых персональных данных,

· вида деятельности, при осуществлении которого обрабатываются персональные данные,

· актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Тип ИСПДн

Сотрудники оператора

Количество субъектов

Тип актуальных угроз

1

2

3

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами — клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

Требования

Уровни

защищенности

1

2

3

4

Режим обеспечения безопасности помещений, где обрабатываются персональные данных

Сохранность носителей персональных данные

Перечень лиц, допущенных к персональным данным

СЗИ, прошедшие процедуру оценки соответствия

Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн

Ограничение доступа к содержанию электронного журнала сообщений

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным

Структурное подразделение, ответственное за обеспечение безопасности персональных данных

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Источник: http://club.cnews.ru/blogs/entry/postanovlenie_pravitelstva_

Персональные данные: в чём суть закона?

Мы все в самых разных ситуациях вынуждены делиться сведениями о себе, а практически в каждой компании вынуждены их обрабатывать.

Порядок использования данных о физических лицах определён в федеральном законе № 152 «О персональных данных». Он был принят в июле 2016 года. С тех пор в этот закон было внесено немало поправок и дополнений.

Ознакомиться с его текстом можно в «Российской газете», месте официальной публикации правовых актов. И конечно, он имеется во всех популярных правовых информационных системах.

Многие из наших клиентов, разместивших свои информационные системы в облаке 1cloud, так или иначе обрабатывают чьи-то личные данные: клиентов, работников или кого-то ещё. Однако несмотря на уже продолжительный период действия закона о персональных данных, регулярно возникают вопросы о порядке их обработки по нормам российского законодательства.

Мы решили подготовить краткий обзор нормативных документов по этой теме. В том числе, с учётом особенностей размещения информационных систем в публичном облаке. Этому посвящены три статьи: 1) обзор закона; 2) меры защиты; 3) особенности защиты в публичном облаке.

О каких данных идёт речь?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Общо? — Очень! Но так мыслил законодатель, принимая и изменяя рассматриваемый закон.

Вообще, в полицейско-правовом отношении физическое лицо идентифицируется тремя параметрами: полным именем, датой рождения и местом рождения. Они именуются краткими установочными данными.

Всё остальное — номер паспорта, номер пенсионного страхового свидетельства, индивидуальный номер налогоплательщика, различные документальные удостоверения, отпечатки пальцев, радужная оболочка глаза и прочее — это дополнительные идентификаторы.

Кого касается закон?

Он касается так называемых операторов — государственных и муниципальных учреждений, юридических и физических лиц, которые производят обработку персональных данных.

Читайте так же:  Моральный вред при затоплении

Под обработкой данных законодатель понимает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Следует обратить внимание на то, что под обработкой понимается не только автоматизированная (компьютерная) обработка, но и любая другая, включая, например, картотеки или журналы на бумажных носителях.

Кого этот закон не касается?

Действие закона о персональных данных не распространяется на ситуации, когда:

  • данные обрабатывает физическое лицо исключительно для личных и семейных нужд (если при этом не нарушаются права других лиц);
  • данные обрабатывают в официальных архивах;
  • данные отнесены к государственной тайне.

Согласие на обработку персональных данных

В ряде случаев согласие на обработку таких данных не требуется, например, если:

  • обработка нужная для журналистской, научной, литературной или иной творческой деятельности при условии, что это не нарушаются права и законные интересы других лиц;
  • обработка производится в судах;
  • обработка необходима для исполнения договора, в котором владелец персональных данных является стороной;
  • обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получить его согласие невозможно.

При необходимости согласия оно должно включать в себя следующие сведения:

  • фамилию, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки;
  • перечень данных, на обработку которых даётся согласие;
  • перечень действий с данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки данных;
  • срок, в течение которого действует согласие, а также способ его отзыва;
  • личную подпись.

Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов этих данных о своем намерении осуществлять такую обработку. О том, что это за орган, будет сказано далее.

Такое уведомление не требуется, когда данные:

  • обрабатываются в соответствии с трудовым законодательством;
  • получены в связи с заключением договора, стороной которого является физическое лицо, если его данные не распространяются и не предоставляются третьим лицам, а используются оператором исключительно для исполнения указанного договора;
  • относятся к членам общественного объединения и обрабатываются соответствующим общественным объединением, действующими в соответствии с законодательством Российской Федерации, при условии, что данные не будут распространяться или раскрываться третьим лицам;
  • сделаны самим владельцем персональных данных общедоступными;
  • включают в себя только фамилию, имя и отчество субъекта;
  • необходимы в целях однократного пропуска субъекта на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в государственные автоматизированные информационные системы для защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации;
  • обрабатываются в целях транспортной безопасности.

Сняты ли все вопросы? — Нет. Например, является ли интернет-магазин оператором персональных данных? — Изначально, вроде, нет, так как данные клиента используются только «в связи с заключением договора, стороной которого является субъект». Но ведь при отправке заказа почтой или транспортной компанией сведения о клиенте предоставляются третьей стороне.

Кто контролирует исполнение норм?

В настоящее время уполномоченным органом по защите прав субъектов персональных данных назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Непосредственно этим направлением занимается одно из её подразделений — Управление по защите прав субъектов персональных данных.

Деятельность Роскомнадзор направлена на организационно-документальную сторону дела. Технические аспекты защиты персональных данных курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Если в технических средствах защиты информации используется криптография (шифрование), к регулированию подключается Федеральная служба безопасности РФ (ФСБ).

Общая схема обработки персональных данных

Для упрощения восприятия порядка обработки данных, установленного в законе о персональных данных, мы решили представить его в виде схемы.

Безопасность персональных данных

Оператор персональных данных обязан обеспечить их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Под мерами по обеспечению безопасности персональных данных при их обработке законодатель понимает следующие действия.

  1. Определение угроз безопасности.
  2. Применение организационных и технических мер по обеспечению безопасности.
  3. Применение средств защиты информации.
  4. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационной системы.
  5. Учёт съёмных носителей персональных данных.
  6. Обнаружение фактов несанкционированного доступа к данным.
  7. Восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  8. Установление правил доступа к обрабатываемым данным, а также обеспечение регистрации и учёта всех действий, совершаемых с ними.
  9. Контроль за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности информационных систем.

Этот список не является исчерпывающим, то есть законом допускаются иные действия, направленные на обеспечение безопасности персональных данных.

Ответственность за регламентацию уровней защиты данных разных категорий и мер защиты законодатель возложил на Правительство Российской Федерации.

Сейчас по этому вопросу действует постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Подробнее организационно-технические аспекты защиты персональных данных при их автоматизированной (компьютерной) обработке мы рассмотрим в нашей следующей статье.

Нужны ли лицензии или сертификаты?

Непосредственно для обработки персональных данных никакие лицензии не нужны. Но при обеспечении их безопасности могут потребоваться сертифицированные технические средства.

Кроме того, по действующему российскому законодательству, обязательно должны быть сертифицированы средства защиты информации, если в них применяется криптография (шифрование).

Оказание услуг по защите информации является лицензируемым видом деятельности. Но если юридическое лицо или индивидуальный предприниматель применяет криптографические средства защиты для собственных нужд, наличие у него лицензии не требуется.

Заключение

Задача обеспечения безопасности и сохранности персональных данных является вполне реальной, весьма актуальной и многогранной. Она касается очень и очень многих. Поэтому нормативные акты, регламентирующие порядок и методики обработки персональных данных на государственном уровне, нужны и полезны. В этой статье мы попытались кратко осветить содержание и общую логику этих актов.

Один из главных посылов закона заключается в том, что лицо, обрабатывающее персональные данные, должно осознавать угрозы этим данным и принимать меры по предотвращению и преодолению их возможных последствий. И это — бесспорно позитивная цель!

Однако в целом этот закон весьма далёк от совершенства. В нём присутствуют неясные формулировки, недостаточно полные нормы. По очень многим важным вопросам имеются отсылки к иным правовым актам, которые, в свою очередь, ясности не добавляют.

О конкретных мерах по обеспечению безопасности данных мы расскажем в нашей следующей статье.

Видео (кликните для воспроизведения).

Источник: http://spark.ru/startup/1cloud/blog/42698/personalnie-dannie-v-chyom-sut-zakona

Защита персональных данных правительство
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here