Отправляет email-рассылки с помощью сервиса Sendsay

Айкидо для руководителя

  Все выпуски  

Айкидо для руководителя. Пояснения к закону о защите персональных данных


 

 

 

 

 
 
 
 
 
 
 

Выпуск 44. Айкидо для руководителя 

 

Добрый день, дорогие читатели! 

Сегодня мы вам рады дать пояснения по Закону о защите персональных данных ФЗ-152-ФЗ.

Закон о защите персональных данных призван обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных (ПД), в том числе защиты прав на неприкосновенность частной жизни, личную и семейные тайны.

Какие важные даты в связи с законом?

1.      Дата вступления ФЗ в силу — 23 января 2007 года. После вступления закона в силу обработка ПД осуществляется в соответствие с законом

2.      Операторы ПД обязаны направить уведомление об обработке ПД не позднее 1 января 2008 года.

3.      ИС ПД, созданные до вступления в силу ФЗ, должны быть приведены в соответствие с требованиями ФЗ до 1 января 2010 года.

Термины, встречающиеся в законе:

Субъекты ПД — физические лица.

Персональные Данные (ПД) — данные о физическом лице (ФИО и т.д и т.п.)

Информационные Системы ПД — совокупность ПД в базе данных, а также информационные технологии и технические средства, которые позволяют обрабатывать ПД с применением средств автоматизации или без оных.

Оператор ПД — любая организация, юридическое или физическое лицо, которое осуществляет или организует обработку ПД, определяющее цели и содержание обработки ПД

Регуляторы деятельности по защите ПД — Роскомнадзор, ФСТЭК, ФСБ

Кто может быть субъектом ПД?
- Штатные сотрудники организации
- Внештатные сотрудники и сотрудники, осуществляющие трудовую деятельность по контракту (столовая, уборщицы и т.п.)
- Клиенты — физические лица (действующие и потенциальные)
- Представители клиентов-юрлиц (действующих и потенциальных)
- Представители субподрядчиков, контрагентов
- Прочие (Члены семей сотрудников и т.п. ...)

Какие существуют категории персональных данных?

К4 - обезличенные и (или) общедоступные ПД, доступ к которым предоставлен неограниченному числу лиц с согласия субъекта ПД или на которые в соответствии с законами РФ не распространяется требования конфиденциальности.

К3 - информация, позволяющая идентифицировать субъекта ПД.

К2 - данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию.

К1 - данные, в которых отражены расовая, национальная принадлежность, политическиевзгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.

Что является обработкой ПД?

  v      Сбор

  v      Систематизация

  v      Накопление

  v      Хранение

  v      Уточнение (обновление, изменения)

  v      Использование

  v      Распространение и передача

  v      Обезличивание

  v      Блокирование

  v      Уничтожение

Какие существуют требования к обработке?

1.     Обработка персональных данных возможна только с согласия субъекта персональных данных, за исключением:

1.1. Обработка данных в целях исполнения договора с субъектом ПД (т.е. сам договор является согласием)

1.2.статистическая обработка – только в обезличенной форме

1.3.для защиты жизни и здоровья

   2.Не допускается обработка ПД специальных категорий:

2.1.Расовая и национальная принадлежность

2.2.Политические взгляды

2.3.Религиозные и философские убеждения

2.4.Состояние здоровья

2.5.Интимная жизнь.

Исключение:

a)Согласие субъекта в письменной форме

b)Общедоступные ПД

c)Защита жизни и здоровья при невозможности получить согласие

d)Медицинские услуги

e)Обработка соответствующих ПД в политических или религиозных объединениях

f)Правосудие, оперативно-розыскная деятельность

3.Обработка данных для продвижения товаров и услуг путем прямых контактов с потенциальным потребителем (прямой маркетинг) -  по согласию субъекта (потребителя)

4.Оператор обязан немедленно прекратить обработку ПД по требованию субъекта

5.Операторами и третьими лицами, получающими доступ к ПД, должна обеспечиваться конфиденциальность ПД, за исключением:

      5.1.Обезличенность ПД

      5.2.Использование общедоступных ПД (справочники, базы) 

Что входит в понятие «согласие субъекта ПД»?


Субъект ПД дает согласие на обработку ПД в письменной форме с указанием следующей информации:

 1. ФИО и паспортные данные

 2. Наименование и адрес оператора ПД

 3. Цель обработки ПД

 4. Перечень ПД, на обработку которых дает согласие субъект

 5. Перечень действий с ПД и способов обработки ПД оператором

 6. Срок действия согласия и порядок его отзыва

       Какие описаны  права субъекта ПД?

     Осуществлять запросы на получение базовой информации(*):

1. на предоставлении сведений об операторе ПД

2. на предоставлении сведений о местонахождении оператора ПД

3. на предоставлении сведений о наличии у оператора ПД, относящихся к субъекту

4. на ознакомление со своими ПД

     Осуществлять запросы на получение расширенной информации (**):

1.подтверждение факта обработки ПД и цель обработки

2.информацию о способах обработки ПД

3.сведения о лицах, которые имеют доступ и которым доступ может быть предоставлен

4 перечень данных и источник их получения

5.сроки обработки ПД и сроки хранения

6.сведения о юридических последствиях обработки ПД для субъекта

Запрос делается в письменном виде и содержит информацию о паспорте субъекта и его подпись, существует возможность использования ЭЦП.

Субъект ПД имеет право на обжалование действий или бездействия оператора ПД в органах по защите прав субъектов ПД и в суде, с возможностью возмещение убытков и компенсацию морального вреда

Какие описаны обязанности оператора ПД?

В отношении субъектов ПД:

1.По запросу субъекта ПД предоставить ему базовую информацию (*), дать возможность ознакомиться с ней при обращении либо в течение 10 рабочих дней после получения запроса

2.При сборе ПД предоставить субъекту (по его просьбе) расширенную информацию (**)

3.При получении ПД не от субъекта, а от третьих лиц, до начала обработки ПД предоставить субъекту информацию:

3.1.Наименование и адрес оператора и его представителя

3.2.Цель обработки ПД и ее правовое основание

3.3.Предполагаемые пользователи ПД

3.4.Права субъекта ПД

4.При отказе — предоставить мотивацию на основе закона в течение 7 рабочих дней с момента обращения или получения запроса

5.Безвозмездно предоставлять субъекту доступ к ПД, а также внесение изменений в ПД, уничтожение и блокировку ПД. О внесенных изменениях оператор ПД обязан  уведомить субъекта и третьих лиц, которым были переданы ПД.

В отношении ПД:

1.Обеспечивать организационные и технические меры по защите ПД от доступа, уничтожения, изменения, копирования, распространения и т.п.

2.При выявлении недостоверности ПД или неправомерных действий — блокировать ПД с момента получения запроса на период проверки

2.1.если недостоверны — обязан уточнить на основании документов субъекта ПД и снять блокирование

2.2.если неправомерные действия — устранить в 3-дневный срок. Если невозможно — уничтожить ПД. Об устранении или уничтожении — уведомить

3.В случае достижения цели обработки ПД, а также отзыва ПД субъектом — прекратить обработку и уничтожить ПД в 3-дневный срок и уведомить субъекта ПД

В отношении регулятора:

1.До начала обработки ПД — уведомить уполномоченный орган о намерении обработки ПД,  за исключением:

1.1.Трудовые отношения с субъектами ПД (работники).

1.2.ПД, полученные в связи с заключением договора, если стороной является субъект, ПД не распространяются третьим лицам без согласия субъекта, используются оператором исключительно для исполнения договора

1.3.Члены общественных или религиозных объединений в этих объединениях.

1.4.Общедоступные ПД.

1.5.Если обрабатываются только ФИО.

1.6.Для однократного пропуска субъекта ПД на территорию оператора и аналогичных случаях.

1.7.Данные из федеральных АИС, государственных ИС.

1.8.Обрабатываемые без использования средств автоматизации при соблюдении нормативов о безопасности ПД и соблюдения прав субъектов ПД.

Уведомление регуляторов об обработке ПД

Осуществляется в письменной форме за подписью уполномоченного лица или в электронной форме с ЭЦП

Состав уведомления:

1.Наименование и адрес оператора

2.Цель обработки ПД

3.Категории ПД

4. Категории субъектов ПД

5.Правовое обоснование обработки ПД

6.Перечень действий с ПД, общее описание способов обработки

7.описание мер по защите ПД

8.дата начала обработки ПД

9.срок или условия прекращения обработки ПД

Сведения вносятся в реестр операторов ПД (http://pd.rsoc.ru/), сведения являются общедоступными, за исключение информации об используемых средствах обеспечения безопасности ПД.

Какова предполагается ответственность оператора ПД?

–КоАП Статья 5.39 – отказ в предоставлении гражданину информации- ответственность - штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности)

–КоАП Статья 13.11 – нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах ответственность - штраф до 1 000 руб

–КоАП Статья 13.12 –– нарушение правил защиты данных – ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации  или административное приостановление деятельности на срок до 90 суток

–УК Статья 137 – нарушение неприкосновенности частной жизни – может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев

–УК Статья 140 – отказ в предоставлении гражданину информации -  ответственность - штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью

–УК Статья 171 – незаконное предпринимательство – ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.

 Регуляторы и нормативные документы:

1.Роскомнадзор является основным исполнительным и надзорным органом по защите прав субъектов ПД.

2.ФСБ решает  вопросы защиты информации с использованием средств шифрования (криптографии)

3.ФСТЭК России осуществляет  контроль защиты информации с применением технических средств. Одна из его компетенций: подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей.

Права Роскомнадзора:

1.проводить проверку сведений, содержащихся в уведомлении, поданном оператором;

2.привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК);

3.принимать меры по приостановлению или прекращению обработки ПД, осуществляемой с нарушением требований закона;

4.обращаться в суд с исковыми заявлениями в защиту прав субъектов ПД и представлять их интересы в суде;

5.направлять заявления в орган, осуществляющий лицензирование деятельностиоператора, для рассмотрения вопроса о принятии мер по приостановлению действия еголицензии;

6.направлять в правоохранительные органы материалы для решения вопроса овозбуждении уголовных дел в связи с нарушением прав субъектов ПД;

7.привлекать к административной ответственности лиц, виновных в нарушении закона.

Информационные системы ПД

Каждая ИС должна быть отнесена к определенному классу. На необходимость отнесения к определенному классу влияют различные факторы: категория данных, распределенность информационной системы, количество записей ПД в ней, количество данных обрабатываемых за один раз, и т.д. Уровень защищенности ИС должен соответствовать критичности данных, поэтому для различных классов вводятся разные требования по степени защиты. Чем менее детальную информацию можно получить субъекте ПД, чем меньше записей в системе и чем менее она распределена – тем ниже требования к защитным механизмам. С практической точки зрения, чем  система ПД относится к более "низшему" классу, тем ниже затраты на обеспечение защиты персональных данных

Документы и лицензии:

Организации, эксплуатирующие ИС определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Технические средства, которые будут использоваться для защиты ПД, должны быть сертифицировать в ФСТЭК.

Методики ФСТЭК должны быть положены в основу «модели угроз» для каждой  информационной системы, обрабатывающей ПД. Этот документ предстоит разработать каждому оператору.

Организации, эксплуатирующие информационные системы ПД определенных классов и передающие ПД через общедоступные и международные сети, должны обеспечить их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных(криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ.

Какие существуют регламентирующие документы:

Открытые документы:

руководящие документы ФСБ, ряд открытых актов по ПД, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml.

Закрытые документы:

"Основные мероприятия по организации и техническому обеспечению безопасности ПД,обрабатываемых в ИС ПД (информационной системе персональных данных)";

"Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД";

"Базовая модель угроз безопасности ПД при их обработке в ИС ПД";

"Методика определения актуальных угроз безопасности персональных данных при их обработке в ИС ПД".

Для получения закрытых документов все операторы, осуществляющие обработку ПД, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17

Выводы:

1. Каждая организация является оператором персональных данных, в минимальном варианте - по своим сотрудникам.

2. В определенных случаях по роду деятельности компания может не уведомлять Регулятора о намерении обрабатывать ПД (например, если в компании нет розничных клиентов — физических лиц, и т..), тем не менее, она обязана обрабатывать и защищать ПД в соответствии с законом, и выполнять все требования закона в отношении субъектов ПД

3. Законом предусматривается серьезная ответственность для юридических лиц и их руководителей

4. Времени осталось совсем мало, отсидеться не удастся.

Источники :

1.      152-ФЗ

2.      http://safe.cnews.ru/reviews/index.shtml?2009/05/15/347317_3

 

3.      http://www.ippnou.ru/article.php?idarticle=003195

Удачи и процветания вам лично и вашему бизнесу. 

Ведущая выпуска,
Наталья Ильина
 

 

 

События

25.09.09

В журнале "Маркетинг в России и за рубежом" №5 (октябрь) 2009 выйдет статья "Разработка уникального торгового предложения». На сайте нашей компании вы можете ее найти и прочитать. Подробнее

25.09.09

Предлагаем бесплатно материалы дистанционного курса Азы продаж. Материалы – бесплатно, а обучение – по низким ценам! Заявка – salesbase@alfalavista.ru


25.09.09

Бесплатную treal версия CRM от лидера SalesForse подключи уже сегодня
Подробнее

 

Новости 

25.09.09

Начат совместный проект с Сергеем Ребриком по знакомству слушателей бизнес-образования MBA с CRM Salesforce. 5 сентября 2009 прошла первая презентация в МИРБИС

Подробнее

Поддержка

·          Рассылка: aikido@alfalavista.ru

·          Консультация: Online@alfalavista.ru

·        Партнерам и клиентам: 
info@alfalavista.ru

 

www.alfalavista.ru 

Москва:
+7 (495) 646-14-86
 
 

О нас 
Статьи 
Консультация 
Вопрос-ответ 
Новости

 

 

 

 

 

Цитата дня: 

 

«Любая цепь предоставления услуг полностью зависит от взаимодействия между людьми внутри системы - без их взаимодействия и стремления внешние клиенты будут обслуживаться из рук вон плохо»

Патриция Веллингтон
«Стратегии кайзен для успешных продаж

Совет дня: Лучший путь достижения цели

 

У вас есть возможность найти наилучший путь достижения цели. Подкрепите действия искренней верой в правильность избранного пути. Никогда не идите на компромиссы со своей совестью. Думайте своей головой, руководствуйтесь высокими идеалами - и судьба улыбнется вам.

Закон о защите персональных данных 152-ФЗ  подробнее

 

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации

Личное развитие. Ричард БРЭНСОН. К ЧЕРТУ ВСЁ! БЕРИСЬ И ДЕЛАЙ!  подробнее

 

Пресса называет меня и моих партнеров из Virgin «хулиганы в раю». Бесспорно, мы склонны делать практически все не так нудно, как остальные, - в конечном итоге это позволило мне стать обладателем пары тропических островов, где я могу развлекаться, - так что пресса, наверное, права. И для меня это здоровый подход. Я работаю от души и развлекаюсь от души

Личное развитие. Будьте светом для себя подробнее

 

Будда умирал. Сорок лет он шёл, и тысячи следовали за ним. Теперь он умирал. Он сказал: "Это мой последний день. Если у вас есть, что спросить, спрашивайте. Настал час, когда каждый должен идти своим путем".

Беспросветная тьма окутала учеников Будды. Ананда - любимый ученик - заплакал, как дитя, у него из глаз катились слезы. Он ударял себя в грудь, почти помешавшись. "Что ты делаешь, Ананда?" - спросил Будда. "Что нам теперь делать? - ответил Ананда. - Ты был здесь, мы шли в твоём свете. Всё было безопасно и хорошо. Мы совершенно забыли, что есть тьма. В следовании за тобой всё было светом. Теперь ты уходишь. Что нам делать?" И он снова принялся плакать и стенать.

Управление. Девять этапов развития менеджера подробнее

 

Менеджер - это человек, который достигает требуемых целей при помощи других людей. Поэтому развитие менеджера неразрывно связано с развитием той команды, которой он управляет. Это два неразрывных понятия.

В своем развитии менеджер проходит девять основных этапов. Эти этапы подобны лестнице - чтобы пройти на следующую ступень, необходимо полностью завершить предыдущую. При этом этап, на котором мы смогли закрепиться, станет основой, базисом для следующего шага менеджера и его команды.

 

Присылайте ваши вопросы и ваши темы для обсуждения, а также ваши отзывы – что понравилось или нет, оценивая материал по 10 балльной шкале.

Наиболее активных подписчиков и читателей, задавших наиболее интересные вопросы, ждут интересные призы! Спешите – призы уже ждут вас. 

 

 

 

 

 

 

 

 

© Copyright 2009 AlfaLaVista.Ru  

АльфаЛаВиста – эксперт в области построения эффективных систем управления бизнесом, совершенствования процессов предприятия, построения корпоративных информационных систем, автоматизации.  Преумножая Ваш успех

 


В избранное