Предыдущая тема
:: Следующая тема |
Автор |
Сообщение |
|
Пн, 13.02.2017, 04:25 |
цитировать |
|
Федеральный закон № 152-ФЗ «О персональных данных»
(с существенными изм. от 21.07.2014 N 242-ФЗ, 03.07.2016 N 231-ФЗ, 07.02. 2017 г. N 13-ФЗ)
Затрагивает многих физических и юридических лиц. Недавно столкнулся с заблуждением юристов предприятий, посмотрел на форумах и там ошибки в суждениях от "ничего не надо делать" по этому Закону до "нас хотят разорить лицензиями". Для тех кому не хочется читать законы:
Для физических лиц
Если Ваши персональные данные (ПД) используют без Вашего письменного согласия или третьи лица стали навязчивы со своими предложениями, то можно воспользоваться Законом.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Ответственность оператора очень сурова, если он не выполнит требование субъекта (гражданина):
а) Подать жалобу оператору со ссылкой на Закон - извинятся, могут дать презент, чтобы затихли.
а) Роскомнадзор (ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ) может оштрафовать оператора, заблокировать сайт оператора ПД, отзывать лицензию. http://rkn.gov.ru/about/territorial/rsoc82.htm
б) Если считаете мало, то в суд. Статьи Административного и Уголовного кодексов будут далее в разделе для юридических лиц. _________________ Пытаясь узнать все белые пятна истории, или глубоко познать себя, можно пропустить саму жизнь |
|
|
|
Пн, 13.02.2017, 04:28 |
цитировать |
|
Для юридических лиц.
Все намного сложнее, диапазон от словесного пинка до закрытия бизнеса со штрафами или ст.УК.
ОБЩЕЕ
Под термин ОПЕРАТОР подпадают очень многие: форумы, службы такси, коллекторы, операторы связи, провайдеры, владельцы серверов, фонды, страховые компании, банки и др. О государственных структурах не пишу - они сами разберутся, все равно никто из низ не пострадает материально.
152-ФЗ Статья 3
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
152-ФЗ Статья 18. Обязанности оператора при сборе персональных данных
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. (часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ)
Персональные данные сотрудников предприятия не учитываем.
УВЕДОМЛЕНИЕ и организационные меры
Если Вы осознали себя оператором ПД и не видите способа избежать такого статуса, то следуем далее.
152-ФЗ Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;..........................
Одно из организационных мероприятий, которое для всех операторов - подача Уведомления:
152-ФЗ Ст.22 Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Другие организационные мероприятия внутренние и указаны в ПОСТАНОВЛЕНИИ от 1 ноября 2012 г. N 1119 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ". По этому же закону определяем свою категорию и действия. Решаемо.
ЛИЦЕНЗИЯ и технические меры
Если Вы владелец серверов, оператор связи ...., то без лицензии ФСТЭК не обойтись. Просто вычисляется и закрывается. Ну еще для тех кто не спрятался по своей упертости или разгильдяйству.
Законодатель считает, что не профессионалы не справятся: деятельность лицензируема!
ПОСТАНОВЛЕНИЕ от 3 февраля 2012 г. N 79 О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ. Получить лицензию ФСТЭК (Федеральная служба таможенного и экспортного контроля) смогут не многие: дорого, времени и действий много.
Если базы данных находятся на ПК в офисе или на левых серверах без сертификата и лицензии у владельца, или серверы за границей, то есть шанс предстать перед законом во всем обличии.
Очень внимательно надо смотреть за особенностями вашего бизнеса, чтобы не попасть под необходимость получать лицензию ФСТЭК
Хорошо, что большинство операционных систем из семейства Windows сертифицированы: например, Windows Server Datacenter. ОС семейства Linux сертифицированы ФСТЭКом. С офисными приложениями хорошо, если не пиратские. Спорно по не выделенным серверам, виртуальным серверам, облачному хранению.
Полный список ПО здесь fstec.ru/component/attachments/download
Обращаю внимание, что бумажные носители с ПД также подпадают под закон. Есть разница в их хранении, алгоритме поиска (152-ФЗ, Ст.1.п.1; Ст.3 п.3), чтобы не попасть под штраф или еще что-нибудь.
Если накроют, то помимо штрафов можете получить:
152-ФЗ Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
Большие компании сами способны обеспечить выполнение требований:
ПОСТАНОВЛЕНИЕ от 1 ноября 2012 г. N 1119 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОСТАНОВЛЕНИЕ от 3 февраля 2012 г. N 79 О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК России, ФСБ России, Мининформсвязи России N 55/86/20.
Приказ ФСТЭК "№21 - дополнительные меры.
Приказ ФСБ №378 по шифрованию.
Все Законы и Приказы в свободном доступе: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=200556&fld=134&dst=1000000001,0&rnd=0.9027299957754911#0
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
- уголовную (Уголовный кодекс Российской Федерации, ст.137, 140,272)
— административную (КоАП, ст. 5.39, 13.11-13.14,19.7), _________________ Пытаясь узнать все белые пятна истории, или глубоко познать себя, можно пропустить саму жизнь |
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|