Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499) 653-60-72 (доб. 946, бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
Регионы (вся Россия, добавочный обязательно):
8 (800) 500-27-29 (доб. 565, бесплатно)
Как зарегистрировать базу данных

Как зарегистрировать базу данных

Как зарегистрировать базу данных
СОДЕРЖАНИЕ
0

Статья 1. Цель Закона

Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

За нарушение настоящего Закона виновное лицо несет ответственность в порядке, установленном национальным законодательством.

https://www.youtube.com/watch{q}v=ytadvertiseru

Текст документа сверен по:»Информационный бюллетеньМежпарламентской Ассамблеигосударств — участников СНГ»,N 23, 2000 год

Статья 2. Основные термины и определения

Персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Как зарегистрировать базу данных

Материальные носители — материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.Уничтожение персональных данных — действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

1. Персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства.

2. Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме.

3. Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним.

4. Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться.

Как зарегистрировать базу данных

5. Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или при миновании надобности.

6. Должны приниматься меры для охраны персональных данных, исключающие случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных.

7. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации.

8. Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.

Государство может осуществлять регулирование действий держателей персональных данных в формах:- лицензирования действий с персональными данными;- регистрации баз персональных данных;- регистрации держателей персональных данных;- сертификации информационных систем, предназначенных для обработки персональных данных.

Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных.Сертификации подлежат предназначенные для обработки персональных данных автоматизированные информационные системы, а также средства защиты информационных систем и персональных данных.Сертификацию осуществляют органы по сертификации в соответствии с национальным законодательством.

Как зарегистрировать базу данных

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило

, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

Это калька

Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь{q}

Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.

Как зарегистрировать базу данных

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.

Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления

Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.

Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.

Как зарегистрировать базу данных

Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.

Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.

Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные{q}»

Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Предлагаем ознакомиться:  Площадь квартиры меньше чем в договоре долевого участия регистрация

Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

Статья 3. Принципы правового регулирования персональных данных

Базы данных, также как и компьютерные программы, а также объекты промсобственности проходят процедуру госрегистрации в фед. институте промсобственности, территориально расположенном в городе Москве.

Процедура госрегистрации базы данных в патентном ведомстве по времени занимает около двух месяцев, после чего сведения о базе данных заносятся в госреестр баз данных, а правообладателю (правообладателям) на руки выдается свидетельство о госрегистрации базы данных.

Процедура госрегистрации базы данных проходит в несколько этапов:

  1. Подготовка пакета документов для госрегистрации базы данных;
  2. Оплата госпошлины за факт госрегистрации базы данных;
  3. Подача заявки и сопутствующих ей документов в секретариат фед. института промсобственности;
  4. Активный контакт заявителя с сотрудниками регистрирующего органа на предмет оформления документации заявки и наличия/отсутствия в ней всех необходимых для госрегистрации документов;
  5. Вынесение решения сотрудниками фед. института промсобственности о регистрации базы данных и занесение сведений о ней в госреестр;
  6. Получение правоустанавливающего документа (свидетельства о госрегистрации базы данных).

Юридическая охрана базы данных длится в течение всей жизни ее правообладателей, а также в течение последующих семидесяти лет после их смерти.

Как зарегистрировать базу данных

1. Правовой режим персональных данных — нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных.

2. Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации, кроме случаев, определенных настоящим Законом.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных, не противоречащих национальному законодательству; включения персональных данных в общедоступные базы данных.

4. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био-, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.).

5. С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный национальным законодательством.

Как зарегистрировать базу данных

6. Правовой режим для персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с национальным законодательством.

7. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном национальным законодательством о защите чести, достоинства, деловой репутации, личной и семейной тайн.

Статья 12. Права субъекта персональных данных

1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных за исключением случаев, предусмотренных пунктом 7 настоящей статьи.

2. В целях реализации своих прав и свобод субъект предоставляет необходимые персональные данные, а также сведения об их изменениях в соответствующие органы государственной власти в объемах, определяемых законодательством.

https://www.youtube.com/watch{q}v=https:accounts.google.comServiceLogin

3. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ.Право на доступ может быть ограничено только в случаях, предусмотренных пунктом 7 настоящей статьи.Указанная информация должна быть выдана субъекту персональных данных в доступной документированной форме, четко и ясно выраженной, и не должна содержать персональные данные, относящиеся к другим субъектам.

4. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные.

5. В случае если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя блокирования этих данных.

6. Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в административном, судебном или ином порядке в соответствии с национальным законодательством.В случае установления неправомерности действий при работе с персональными данными субъект данных имеет право на возмещение убытков и на иные формы обеспечения прав в соответствии c национальным законодательством.

а) права предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных национальным законодательством о государственной тайне;

б) права доступа к своим персональным данным, внесения в них изменений и их блокирования в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, иных персональных данных в случаях, предусмотренных национальным законодательством.

1. Защита прав субъектов персональных данных осуществляется в общем порядке органами исполнительной власти, судебными органами, органами прокуратуры в соответствии с функциями и полномочиями, определенными для них национальным законодательством.

2. Для защиты прав субъектов персональных данных могут создаваться специальные органы, деятельность которых дополняет существующие возможности защиты прав субъектов.Специальные органы по защите прав субъектов персональных данных осуществляют свою деятельность в пределах компетенции, установленной национальным законодательством, и не вправе принимать решения, отнесенные к компетенции держателей персональных данных.

3. На указанные органы могут быть возложены:- лицензирование действий с персональными данными;- регистрация баз персональных данных;- регистрация держателей и ведение реестра держателей персональных данных;- представление интересов субъектов персональных данных в суде, расследование по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;

4. Во исполнение указанных функций органы по защите прав субъектов персональных данных могут наделяться следующими правами:- беспрепятственно получать доступ к массивам персональных данных;- запрашивать и получать от держателя персональных данных любые необходимые сведения, документы и материалы;- проводить самостоятельно или совместно с уполномоченными органами и должностными лицами проверку деятельности держателей персональных данных, относительно которых имеется информация о нарушениях прав субъекта;

Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Предлагаем ознакомиться:  Где запросить данные то что отсутствует в собствености жилье

Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных{q} Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях.

Как зарегистрировать базу данных

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Статья 6. Лицензирование действий (операций) с персональными данными

— цели и способы получения и использования персональных данных, режимы и сроки их хранения;- категории или группы субъектов персональных данных;- перечень персональных данных;- источники персональных данных;- порядок информирования субъектов о получении их персональных данных;- меры по обеспечению сохранности персональных данных и конфиденциальности обращения с ними;

— лица, непосредственно ответственные за работу с персональными данными;- требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать ссылку на выданную лицензию.

Лицензия не требуется:- органам государственной власти и органам местного самоуправления, осуществляющим работу с персональными данными в соответствии со своей компетенцией;- в случае работы с персональными данными для целей, исключающих передачу персональных данных иным юридическим и физическим лицам;- в случае получения этих данных в личных целях, не предполагающих их распространения.

Статья 17. Ответственность за нарушение Закона о персональных данных

Вы поняли важность вопроса и готовы нести ответственность{q} Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Процедура госрегистрации и правовая охрана базы данных

Согласно нормам российского авторского законодательства, базы данных, как и компьютерные программы, охраняются законом независимо от того, зарегистрированы ли они или нет.

Разработчик в любом случае вправе защищать свои права на базу данных. Однако следует отметить, что наличие факта госрегистрации существенно облегчает процесс защиты, поскольку наличие правоустанавливающего документа (свидетельства о госрегистрации базы данных) является основным доказательством в суде.

Также, если разработчик желает извлекать прибыль путем эффективного использования базы данных, отчуждения базы или передачи ее в пользование по лицензионным договорам, то факт госрегистрации самой базы данных и сделок с ней будет необходим.

Потребуется госрегистрация базы данных и заказчику, который поручил разработчику создать базу данных, согласно техническому заданию в рамках правовой конструкции договора авторского заказа. Для заказчика будет важно, чтобы в правоустанавливающем документе на базу его имя (или название компании) было указано в качестве обладателя исключительных (имущественных) правомочий.

Таким образом, свидетельство о госрегистрации базы данных может понадобиться в следующих случаях:

  1. Для эффективной защиты базы данных от ее несанкционированного использования;
  2. В качестве доказательства в суде, если в ходе разбирательства оспаривается право авторства или право обладания базой данных;
  3. Для передачи имущественных прав на базу данных (купля-продажа, выдача лицензий, залог, передача базы данных в порядке дара или наследования и т.д.). Здесь следует особо отметить, что любые сделки с базой данных также подлежат госрегистрации. Это означает, что любой договор, предметом которого является база данных, подлежит самостоятельной госрегистрации. Госрегистрация договоров осуществляется там же, где госрегистрация баз данных (в фед. институте промсобственности);
  4. При осуществлении перевозки базы данных через границу.

Регистрация баз персональных данных обеспечивает их гласный учет и позволяет информировать граждан о возможностях доступа к своим персональным данным.Базы персональных данных подлежат обязательной регистрации в органах исполнительной власти, на которые возложены функции защиты прав субъектов персональных данных.

Регистрация держателей персональных данных обеспечивает ведение общедоступного реестра держателей персональных данных. При регистрации держателей персональных данных указываются:- цели и способы получения и использования персональных данных, режим и сроки их хранения;- категории или группы субъектов персональных данных;

— источники персональных данных;- порядок информирования субъектов о сборе их персональных данных;- меры по обеспечению сохранности персональных данных и конфиденциальности действий с ними;- лица, непосредственно ответственные за работу с персональными данными;- требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.

1. В целях информационного обеспечения в стране могут создаваться общедоступные базы персональных данных (справочники, телефонные книги, адресные книги и т.д.).

2. В общедоступные базы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом, сведения, полученные из открытых источников.

3. В случае если персональные данные получены держателем из открытых источников либо иных общедоступных баз персональных данных, держатель общедоступной базы информирует субъекта о содержании его персональных данных и цели их использования.

4. Сведения о конкретных субъектах могут быть в любое время исключены из базы на основании:- распоряжения субъекта персональных данных;- решений правоохранительных органов.

5. Режим конфиденциальности для общедоступных баз персональных данных не устанавливается.

1. Юридические и физические лица получают право на действия с персональными данными на основании лицензии или в соответствии с разрешительным порядком, предусмотренным национальным законодательством.

2. Держатель персональных данных обязан:- получать персональные данные непосредственно от субъекта или из других источников с его согласия, за исключением случаев, предусмотренных действующим законодательством;- обеспечивать режим конфиденциальности при использовании персональных данных в предусмотренных настоящим Законом случаях;

— документально определять порядок работы с персональными данными служащих, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранность персональных данных;- обеспечивать сохранность персональных данных, их уточнение, а также установленный в нормативном порядке режим доступа к ним;- сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные.

3. Лица, которым персональные данные становятся известными благодаря их должностным обязанностям, принимают на себя обязательства и несут ответственность за обеспечение конфиденциальности действий с этими персональными данными. Обязательства остаются в силе и после окончания работы с персональными данными в течение срока сохранения режима конфиденциальности.

Предлагаем ознакомиться:  Регистрация права на долю жилого дома

4. В случаях выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держатель обязан заблокировать эти персональные данные на период проверки, после которой исправить их, снять блокирование или уничтожить.

5. Передача персональных данных другому держателю возможна только в том случае, если цели использования персональных данных новым держателем соответствуют целям их получения. Передача персональных данных в целях, не соответствующих целям их получения, осуществляется либо с согласия субъекта, либо на основании закона. При передаче персональных данных другому держателю на него возлагается обязанность соблюдать режим конфиденциальности.

Статья 9. Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

  1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
  2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
  3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно здесь.

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок — трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.

Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.

Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».

Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е.

1. Не может запрещаться или ставиться под специальный контроль трансграничная передача персональных данных, за исключением случаев, создающих угрозу национальной безопасности, и при необеспечении адекватного уровня защиты персональных данных.

2. Государство обеспечивает законные меры защиты находящихся на его территории или передаваемых через его территорию персональных данных, исключающие их искажение и несанкционированное использование.

3. При трансграничной передаче персональных данных передающая сторона исходит из того, что в соответствии с межгосударственными соглашениями либо национальным законодательством другая сторона обеспечивает адекватный уровень защиты прав субъектов персональных данных и охраны этих данных.

https://www.youtube.com/watch{q}v=ytpressru

4. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты этих данных, может иметь место при условии:- явно выраженного согласия субъекта персональных данных на эту передачу;- необходимости передачи персональных данных для заключения и (или) исполнения договора между субъектом и держателем персональных данных либо между держателем и третьей стороной в интересах субъекта персональных данных;

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий — это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

  1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
  2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
  3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей — это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы — отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Статья 14. Обезличивание персональных данных

Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Статья 15. Хранение и обновление персональных данных

1. Сроки хранения персональных данных определяются национальным законодательством с учетом целей их получения. Сроки хранения могут быть продлены только в интересах субъекта персональных данных или если это предусмотрено национальным законодательством. По истечении срока хранения или достижении целей получения персональных данных они подлежат уничтожению.

https://www.youtube.com/watch{q}v=ytaboutru

2. Держатель персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:- в случаях, предусмотренных законом;- по собственной инициативе;- по инициативе субъекта, персональные данные которого подлежат изменению.

Комментировать
0
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock detector