Меню Закрыть

Федеральный закон от 270706 152

Оглавление:

Персональные данные: как соблюсти порядок их обработки

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон – с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно – штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон – включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее – Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

  • сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
  • фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция – перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • для однократного пропуска лица на территорию компании;
  • без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека – см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет – составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца – субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных – например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие – например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент – субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение – она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку – его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах – например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать – например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

  • обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
  • обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных – с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер – определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании – до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) – штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) – штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) – штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

Смотрите так же:  Разрядный приказ в xvii в

Политика о порядке обработки и защиты персональных данных

Настоящая Политика в отношении обработки персональных данных составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, которые ООО «Страховая компания ВИТАЛ-полис» (далее по тексту – Компания) может получить от субъекта персональных данных.

1. Правовое основание обработки персональных данных.

  • Конституция Российской Федерации (статьи 23,24);
  • Федеральный закон от 27.07.06 г. №152-ФЗ «О персональных данных» (статьи 1, 6, 22);
  • Федеральный закон от 25.04.2002 №40-Ф3 «Об обязательном страховании гражданской ответственности владельцев транспортных средств» (статьи 9, 25);
  • Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» (статья 7);
  • Гражданский кодекс РФ (глава 48);
  • Трудовой кодекс РФ (статьи 85-90);
  • Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (статья 6);

2. Цели и способы обработки персональных данных

Цель обработки персональных данных субъектов ПДн – обеспечение выполнения работ и предоставления услуг, определенных Уставом и лицензиями Компании, выполнения договорных обязательств Компании перед клиентами, предоставления возможности работникам контрагентов Компании выполнения обязанностей, предусмотренных договорами между Компанией и ее контрагентами.
Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных подразделяется на:

  • обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации;
  • обработку персональных данных, осуществляемую без использования средств автоматизации.

3. Категории, типы обрабатываемых данных.

Порядок сбора и обработки персональных данных в Компании ведется в соответствии с законодательством РФ.
В состав обрабатываемых персональных данных входят: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; состояние здоровья; Пол; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения); водительский стаж; гражданство; информация по застрахованному транспортному средству (тип, марка, модель, год выпуска, номерной знак, документ на ТС); идентификационный номер налогоплательщика (при его наличии).

4. Перечень действий с персональными данными:

Сбор; Систематизация; Накопление; Хранение; Уточнение (обновление, изменение); Использование; Распространение (в том числе передача); Обезличивание; Блокирование; Уничтожение.

5. Категории субъектов, персональные данные которых обрабатываются:

  • работники Компании;
  • физические лица – клиентов Компании, являющихся застрахованными, страхователями или выгодоприобретателями;
  • физические лица – состоящих в договорных и иных гражданско-правовых отношениях с Компанией.

6. Условия прекращения обработки персональных данных.

Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами, а также в случае выявления неправомерных действий с персональными данными и невозможностью устранения допущенных нарушений в срок, установленным законодательством.

7. Обеспечение конфиденциальности.

Персональные данные наших клиентов и партнеров содержатся в заключаемых с ними договорах, документах, относящихся к исполнению данных договоров, и информационных системах персональных данных.

Обработка персональных данных субъектов персональных данных, осуществляется в целях обеспечения выполнения работ и предоставления услуг, определенных Уставом и лицензиями Компании, выполнения договорных обязательств Компании перед клиентами, предоставления возможности работникам контрагентов Компании выполнения обязанностей, предусмотренных договорами между Компанией и ее контрагентами.

Наша Компания принимает все меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. А также Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения возложенных на него обязанностей, если иное не предусмотрено 152-ФЗ или другими федеральными законами.

8. Получение доступа к персональным данным.

Доступ к своим персональным данным предоставляется субъекту персональных данных (его законному представителю) на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя и указания № договора.

9. Условия раскрытия и объем данных доступных партнерам и третьим лицам.

Компания обеспечивает конфиденциальность персональных данных и обязана не передавать их третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательством. Передача персональных данных субъекта третьим лицам осуществляется Компанией на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных.

10.Защита персональных данных.

Защита персональных данных ,обрабатываемых Компанией ,обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
В целях защиты персональных данных в Компании реализованы следующие мероприятия:

  • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • внедрена система защиты персональных данных;
  • установлены правила доступа к персональным данным;
  • проведены мероприятия по технической защите персональных данных ;
  • осуществляется контроль соблюдения требований обеспечения безопасности персональных данных;
  • ограничен доступ в помещения, где хранятся материальные носители, содержащие персональные данные;

    11.Заключительные положения.

    Иные права и обязанности Компании как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

    Федеральный закон от 270706 152

    Подробную информацию по вопросам обработки персональных данных Вы сможете найти на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных данных http://www.pd.rkn.gov.ru/.

    По возникающим вопросам обращаться в Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу — Югре и Ямало-Ненецкому автономному округу по телефонам: (3452) 56-86-65, 56-86-64, 56-86-63 (пон.-чет. с 09:00 до 13:00, с 13:45 до 18:00; пят. с 09:00 до 13:00, с 13:45 до 16:45).

    С 26.01.2007 г. действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Согласно ч.1 ст.22 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», каждый оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Оператором, обрабатывающим персональные данные, считается любая компания, которая осуществляет различные действия (операции) с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, обезличивание, блокирование, уничтожение. Таким образом, еще до начала работы с персональными данными, об этом необходимо поставить в известность Роскомнадзор.

    Обращаем внимание! Операторы, обрабатывающие персональные данные в соответствии с ч.2.1 ст. 25 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», которые осуществляли обработку персональных данных до 01.07.2011 г., обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 ч.3 ст.22 настоящего Федерального закона, не позднее 01.01.2013 г.

    Федеральным законом от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее Закон № 242-ФЗ) внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.

    Оператор (юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных) после 01.09.2015 обязан направить в территориальное управление Роскомнадзора (на территории Тюменской области, Ханты-Мансийского автономного округа-Югры и Ямало-Ненецкого автономного округа — это Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу-Югре и Ямало-Ненецкому автономному округу)уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.

    Законом №242-ФЗ статья 18 Закона №152-ФЗ дополнена частью 5, которая указывает, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона №152-ФЗ.

    Время публикации: 03.10.2009 02:00
    Последнее изменение: 04.04.2018 17:52

    Компания «Мехатроника» обеспечит безопасность персональных данных

    В соответствии с положениями Федерального закона от 27.07.06 г. № 152-ФЗ «О персональных данных» организации, обрабатывающие персональные данные сотрудников, клиентов, партнеров и т.д. в своей информационной системе обязаны реализовать мероприятия по их защите. Для выполнения требований закона компания «Мехатроника» предлагает пакет услуг по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах (ИС).

    Консультации на данную тему Вы можете получить в компании «Мехатроника»:

    г. Оренбург, ул. Цвиллинга, д. 102
    тел.: (3532) 43-44-61 — многоканальный

    Выгоды для бизнеса

    В результате реализации проекта в области защиты персональных данных наши клиенты получают следующие преимущества:

    • Объективное повышение уровня безопасности автоматизированной информационной системы
    • Обеспечение формальных требований законодательства РФ для исключение рисков, связанных с надзорными органами — регуляторами (Роскомнадзор, ФСТЭК, ФСБ)
    • Повышение доверия компании со стороны клиентов, партнеров
    • Получение дополнительного конкурентного преимущества на рынке

    Требования законодательства

    Согласно Указу Президента РФ от 6.03.1997 «Об утверждении перечня сведений конфиденциального характера» персональные данные относятся к сведениям кофиденциального характера. К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

    ФЗ № 152-ФЗ «О персональных данных», принятый в июле 2006 г., обязал операторов персональных данных «принять необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

    Под действие этого закона попадают все операторы персональных данных (далее ПДн), как государственные учреждения, так и коммерческие предприятия и организации, в информационных системах которых осуществляется обработка ПДн. Детальные требования по защите ПДн, обязательные для выполнения компаниями, приводятся в подзаконных нормативно-правовых и нормативно-методических документах. Перечень защитных мер дифференцирован и зависит от установленного класса ИС, в которой обрабатываются ПДн. Класс информационной системы выбирается в соответствии с данной таблицей.

    В общем случае компании, ИС которых отнесены к классам К1, К2, К3, должны:

    • создать систему защиты ИС, в которой осуществляется обработка персональных данных, и провести оценку ее соответствия установленным требованиям;
    • получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (для класса К3 — только в случае распределенной АИСПДн);
    • осуществить работы по защите речевой конфиденциальной информации (в случае воспроизведения персональных данных по акустическому каналу).

    Ответственность за нарушение требований в области защиты персональных данных установлена в Кодексе РФ об административных правонарушениях (КоАП ст. 13.12, 13.13) и предусматривает наложение штрафа на должностное лицо или компанию до 20000 рублей с возможной конфискацией несертифицированных средств защиты информации, а также возможное административное приостановление деятельности компании на срок до 90 суток.

    Услуги компании «Мехатроника»

    Компания «Мехатроника» предлагает услуги по комплексному решению вопросов, связанных с приведением АИСПДн в соответствие Федеральному закону № 152 «О персональных данных» от 27 июля 2006 г:

    • Оказание консультационных услуг в области обеспечения безопасности персональных данных
    • Разработку организационно-распорядительных документов по организации защиты персональных данных: положение о защите персональных данных, план мероприятий по защите ПДн, положение о подразделении по защите информации, модель угроз, матрица (правила разграничения) доступа или полномочий, ТЗ (ЧТЗ) на систему защиты ПДн, документы о возможности эксплуатации СЗИ и другие документы. В целом разрабатываемые документы составят пакет, включающий в себя более пятидесяти наименований, в том числе документы, для разработки которых используются регламенты, методические указания ФСБ РФ, ФСТЭК «Для служебного пользования».
    • Реализация проекта по разработке и внедрению систем защиты персональных данных в организации в соответствии с требованиями нормативно-методических документов
    • Организацию и проведение мероприятий по технической и криптографической защите персональных данных
    • Аттестацию объектов информатизации (защищаемых помещений, информационных систем) с привлечением аккредитованных ФСТЭК аттестационных центров
    • Обучение персонала организации в части, касающейся организации защиты персональных данных
    • Консультирование по вопросам получения лицензий ФСТЭК на ТЗКИ
    Смотрите так же:  Транспортный налог 2018 сайт

    Решить такие задачи самостоятельно сложно, так как они в свою очередь связаны с проблемой нехватки квалифицированных специалистов и отсутствия у них необходимых знаний и практического опыта. Кроме того, содержать штат сотрудников, которые будут заниматься вопросами защиты информации, может позволить себе далеко не каждая организация.

    Наше решение значительно снизит ваши финансовые затраты, а также позволит оперативно и профессионально решать полный комплекс задач в области информационной безопасности в короткие сроки.

    Условия использования персональных данных.

    УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Согласие на обработку персональных данных
    Пользователь, оставляя заявку, оформляя подписку, комментарий, запрос на обратную связь, регистрируясь либо совершая иные действия, связанные с внесением своих персональных данных на интернет-сайте lavkaradostej.ru, принимает настоящее Согласие на обработку персональных данных (далее – Согласие), размещенное по адресу

    Принятием Согласия является подтверждение факта согласия Пользователя со всеми пунктами Согласия. Пользователь дает свое согласие организации Ассоциация «Все вместе», которой принадлежит сайт lavkaradostej.ru на обработку своих персональных данных со следующими условиями:
    Пользователь дает согласие на обработку своих персональных данных, как без использования средств автоматизации, так и с их использованием.

    Согласие дается на обработку следующих персональных данных (не являющимися специальными или биометрическими):
    • фамилия, имя, отчество;
    • адрес(а) электронной почты;
    • иные данные, предоставляемые Пользователем.

    Персональные данные пользователя не являются общедоступными.

    1. Целью обработки персональных данных является предоставление полного доступа к функционалу сайта lavkaradostej.ru.

    2. Основанием для сбора, обработки и хранения персональных данных являются:
    • Ст. 23, 24 Конституции Российской Федерации;
    • Ст. 2, 5, 6, 7, 9, 18–22 Федерального закона от 27.07.06 года №152-ФЗ «О персональных данных»;
    • Ст. 18 Федерального закона от 13.03.06 года № 38-ФЗ «О рекламе»;
    • Устав организации Фонд поддержки социальных программ и инициатив «Лавка Радостей»
    • Политика обработки персональных данных.

    3. В ходе обработки с персональными данными будут совершены следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

    4. Передача персональных данных, скрытых для общего просмотра, третьим лицам не осуществляется, за исключением случаев, предусмотренных законодательством Российской Федерации.

    5. Пользователь подтверждает, что указанные им персональные данные принадлежат лично ему.

    6. Персональные данные хранятся и обрабатываются до момента ликвидации организации Фонд поддержки социальных программ и инициатив «Лавка радостей». Хранение персональных данных осуществляется согласно Федеральному закону №125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно правовым актам в области архивного дела и архивного хранения.

    7. Пользователь согласен на получение информационных сообщений с сайта lavkaradostej.ru. Персональные данные обрабатываются до отписки Пользователя от получения информационных сообщений.

    8. Согласие может быть отозвано Пользователем либо его законным представителем, путем направления Отзыва согласия на электронную почту – [email protected] с пометкой «Отзыв согласия на обработку персональных данных». В случае отзыва Пользователем согласия на обработку персональных данных организация «Фонд поддержки социальных программ и инициатив «Лавка Радостей»» вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г. Удаление персональных данных влечет невозможность доступа к полной версии функционала сайта lavkaradostej.ru.

    9. Настоящее Согласие является бессрочным, и действует все время до момента прекращения обработки персональных данных, указанных в п.7 и п.8 данного Согласия.

    10. Место нахождения организации «Фонд поддержки социальных программ и инициатив «Лавка Радостей»» в соответствии с учредительными документами: г. Москва, Малый Сухаревский пер., д. 7

    Федеральный закон от 270706 152

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ
    «О персональных данных»

    Вложение доступно только Зарегистрированным пользователям. Для просмотра вложения необходимо зарегистрироваться!

    Директор по развитию Национального бюро кредитных историй Игорь Плотников рассказал газете ВЗГЛЯД о механизмах защиты персональных данных заемщиков. Утечка информации из банков и торговых сетей маловероятна, а из кредитных бюро – невозможна, утверждает специалист. А данные о размере кредита и просроченных платежах ничего не дают мошенникам.

    — Игорь Борисович, к вам в бюро обращались с предложением купить базу данных по заемщикам?

    «Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей» — Нет, я ничего не слышал об этом.

    — Но на черном рынке такая информация есть?
    — Я думаю, на черном рынке много чего есть, но к бюро кредитных историй это не имеет отношения. Перечень сведений, которые приведены в появившейся базе, показывает, что вся информация получена из самих торговых сетей или финансовых институтов. В бюро кредитных историй такой информации нет. К тому же набор данных противоречит перечню, указанному в законе о кредитных историях. Значит, эта информация точно не из кредитных бюро и не из специального каталога.

    — Какие ресурсы требуются для того, чтобы собрать данные о 700 тыс. заемщиках?
    — Вопрос – какие источники информации использовались.700 тыс. записей – это много. Если база не фальшивая, утечка могла быть либо из нескольких финансовых институтов, либо из самих торговых сетей. Хотя это маловероятно.

    Объясняется это просто. Например, банк не имеет права сообщать название торговой сети, где была произведена покупка, сумму покупки, объем просрочки и сумму санкций. Это не та информация, которая нужна бюро кредитных историй.

    — Какие механизмы защиты данных действуют в бюро кредитных историй?
    — Мы используем программно-аппаратный комплекс нашего технологического партнера – американской компании TransUnion. Она обслуживает кредитные бюро в CША и еще 35 странах мира.

    Все наше оборудование соответствует стандартам надежности хранения и защиты информации.

    К тому же в бюро кредитных историй действует внутренний регламент, который не позволяет ни одному сотруднику, даже генеральному директору и операционисту, иметь доступ к базе. Сотрудники видят только ту часть, с которой работают, и не имеют доступа ко всем данным в целом. Комплекс имеет несколько степенней защиты, и взломать его нереально.

    — Что угрожает людям, данные о которых попали к мошенникам?
    — Размер кредита и просрочки ничего не дают мошенникам. К тому же это потребительское кредитование, а не ипотека или кредит на покупку автомобиля. Да, купили миксер или пылесос, ну и что?
    Это может быть интересно только тем, кто выдает кредиты, чтобы посмотреть, как погашается задолженность. Но так как база создана с нарушением законодательства, ни один банк не будет ее покупать.

    — Покупателям и продавцам информации на черном рынке грозит уголовная ответственность?
    — Есть закон о защите информации, который предусматривает ответственность. Серьезные банки не будут покупать такую базу. Создателей базы, если это не фальшивка, а реальная база, можно обвинить в нарушении закона об информации и ряда других законов. Если они создали фальшивку, то это мошенничество.
    http://www.vz.ru/economy/2006/8/16/45480.html

    База данных о пассажирах на сайте имеется конечно же не в оригинальном виде , но взломав ее сразу можно получить все паспортные данные. Уверенность в ее защищенности видимо у Аэрофлота 100%?
    . Крупнейшие российские авиаперевозчики технологически тоже готовы перейти на электронный билет. «Аэрофлот», S7 Airlines («Сибирь»), «Уральские авиалинии» и «Трансаэро» уже предложили своим пассажирам бронирование и продажу авиабилетов через интернет. Как же должен работать электронный билет?

    «Пользуясь услугами авиаперевозчика, который перешел на электронный билет, пассажир заказывает билет в интернете, приезжает в аэропорт, сообщает свой номер и проходит на посадку. При себе нужно иметь лишь паспорт, пластиковую карточку, с которой был оплачен билет, и компьютерную распечатку, — говорит Андрей Полозов-Яблонский, руководитель проекта по внедрению системы интернет-продаж в «Аэрофлоте». — С введением электронного билета значительно упрощается процесс изменения данных (даты вылета, номера рейса), так как нет необходимости производить манипуляции с бумажным билетом. Такой билет невозможно потерять, так как данные о пассажире занесены в электронную систему». Например, на сайте «Аэрофлота» персональные данные клиента интегрированы с базой данных часто летающих пассажиров, что позволяет клиенту видеть истории бронирований и отменять ранее сделанные, вводить индивидуальные настройки, расширяющие сервис, и т.д. . http://www.finiz.ru/cfin/tmpl-art_oo/id_art-1043486

    Намерение налоговиков получить доступ к хранящимся в банках кредитным историям с целью выявления налоговых нарушений встретило жесткий отпор со стороны банковского сообщества.
    Вчера инициативу Федеральной налоговой службы (ФНС) осудил президент Ассоциации российских банков (АРБ) Гарегин Тосунян. Раскритиковав намерение ФНС, которое в конце июля в ответах на вопросы Интерфакса сообщило, что изучает вопрос о возможности использования кредитных историй граждан для выявления налоговых нарушений, глава АРБ попытался успокоить взволнованных налогоплательщиков. По его словам, пока рано делать какие-то конкретные выводы о возможных последствиях инициативы ФНС. «Сама инициатива недостаточно четко сформулирована, – подчеркнул Тосунян. — Намерения обычно высказываются, чтобы выяснить реакцию общества. Банковское сообщество негативно восприняло эту инициативу». По его мнению, вмешательство ФНС может отбить желание у граждан предоставлять информацию о кредитах в кредитные бюро. «Давайте так скажем налоговым органам: господа, не зарывайтесь, умейте эффективно и грамотно пользоваться своими возможностями», – предложил Тосунян. Глава АРБ считает, что ФНС должна мотивировать свой интерес к информации о кредитной истории какого-то конкретного заемщика, а не требовать информацию о платежах всех физлиц, которая содержится в бюро кредитных историй.
    Сейчас многие банки выдают кредиты на основе сведений о «серой» зарплате. Как правило, эти сведения подкреплены справкой, которую соискатель кредита получает по месту работы. Если такая информация попадет в руки налоговых органов, то, обнаружив несоответствие между официальной «белой» зарплатой и той, что указана в такой справке, они могут инициировать проверку организации, в которой обнаружатся такие расхождения. Кроме того, даже не имея таких справок, налоговики, получив доступ к кредитным историям, могут сравнить «белую» зарплату с размером платежей, направляемых на погашение кредита. Если окажется, что официально гражданин зарабатывает, к примеру, только 3 тыс. руб., а ежемесячно выплачивает банку по 1 тыс. долл., то это также может грозить неприятностями той организации, в которой он работает. Учитывая, что у банков накоплены значительные базы по таким кредитам, под удар могут попасть сотни тысяч предприятий и организаций.

    Юристам запросы налоговых органов также кажутся чрезмерными. «Таким способом налоговики хотят бороться с «серыми» зарплатами, однако в данной ситуации, на мой взгляд, это все равно что стрелять из пушки по воробьям. Налоговые органы планируют делать выводы о доходах физлица на основании справок, которые заемщик предоставляет банку для получения кредита, однако далеко не всегда такие справки отражают истинный размер доходов человека. Очевидно, что борьба с черным налом ведется не с того конца», – рассуждает партнер юридической фирмы «Джон Тайнер и партнеры» Валерий Гуща. По его мнению, инициатива налоговиков нарушает этические принципы взаимоотношений банков со своими клиентами. «Здесь речь идет о разглашении банковской тайны, все-таки что-то должно оставаться неприкосновенным. Базы данных и так уже продаются и покупаются, а если эти сведения будут переданы в ФНС, то возможно дальнейшее их тиражирование», – сообщил Гуща «НГ». В этом случае опасаться придется не только руководителям организаций с «серыми» зарплатами, но уже и некоторым получателям таких зарплат, причем не столько интереса со стороны налоговиков, сколько со стороны криминалитета.
    http://www.ng.ru/economics/2006-08-16/4_serye.html

    Смотрите так же:  Судебная практика ст 209 ук

    Через 3 дня после окончания действия абонентского договора персональные данные абонента должны быть уничтожены — так ?

    В конце июля Президент РФ В.В. Путин подписал закон «О персональных данных». В результате с февраля 2007 года торговля приватными базами данных становится преступлением, все виды организаций обязаны обеспечить безопасность личной информации своих сотрудников и клиентов, а за утечку персональных данных компания может быть привлечена к ответственности. О том, какие требования новый федеральный закон предъявляет к защите конфиденциальности приватных сведений, расскажет эта статья.

    С полным текстом N152 ФЗ «О персональных данных» можно ознакомиться в «Российской газете» N4131 от 29 июля 2006 года. Далее будут проанализированы только основные определения и положения нового нормативного акта, имеющие непосредственное отношение к информационной безопасности (ИБ). После прочтения данной статьи и ознакомления с особенностями нового закона уважаемый читатель приглашается к участию в исследовании «Защита персональных данных по закону»

    Прежде чем перейти к подробному анализу закона «О персональных данных», рассмотрим основные понятия этого нормативного акта.

    Основные понятия закона «О персональных данных»

    Термин
    Определение
    Примеры

    Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
    ФИО, дата и место рождения, адрес, имущественное положение, образование, профессия и доходы.

    Оператор
    Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
    Любая коммерческая, некоммерческая, государственная, частная организация, так как на попечении любой организации находятся персональные данные, как минимум, ее служащих.

    Обработка персональных данных
    Практически любые действия (операции) с персональными данными.
    Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение). Кроме того, использование, распространение, передача, обезличивание, блокирование, уничтожение.

    Распространение персональных данных
    Действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц.
    Обнародование персональных данных в СМИ, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

    Обезличивание персональных данных
    действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
    Результаты статистических опросов – обезличенные данные.

    Информационная система персональных данных
    информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
    База данных, например, оператора сотовой связи, содержащая персональные данные клиентов компании. Кроме того, средства для анализа записей в БД, импорта/экспорта информации, передачи данных и т.д. (см. определение «обработки персональных данных»).

    Конфиденциальность персональных данных
    обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
    Требование обеспечить защиту от утечек.

    Анализ главных определений федерального закона позволяет сделать ряд важных выводов. Во-первых, под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков. Во-вторых, конфиденциальность информации является обязательным требованием, причем под ней понимает защита от распространения (синоним слову «утечка»). Перейдем теперь к конкретным положениям закона, требующим модификации ИТ-инфраструктуры и системы ИБ.

    Требования закона к ИБ

    Следует отметить, что федеральный закон «О персональных данных» выдвигает целый ряд требований ко всем сферам деятельности организации, в которых она соприкасается с приватными сведениями клиентов. Далее будут рассмотрены положения закона, имеющие отношения лишь к ИТ и ИБ. Между тем, каждой компании желательно провести анализ всех требований нормативного акта применительно к бизнес-процессам организации. Более того, в экспертную группу должен входить, как минимум, один представитель высшего звена, который хорошо себе представляет весь бизнес компании в целом.

    Итак, прежде всего, следует обратить внимание на ст.5 ч.2.: «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» персональная информация «подлежит уничтожению». Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ст.21 ч.4 длиной в три рабочих дня. Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Хотя, конечно, никто не запрещает создавать учетные записи и сохранять на сервере компании персональные сведения, но при этом электронный магазин должен ясно заявить, что эти данные собираются не для осуществления продажи товара (одной конкретной транзакции), а для длительного хранения. Однако эксперты InfoWatch указывают, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, никто не запрещает накапливать обезличенные выборки для проведения статистических исследований.

    Согласно ст.7, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно. Правда, особое внимание представители бизнеса должны уделить требованиям ст.19 – «Меры по обеспечению безопасности персональных данных при их обработке». Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Более того, согласно ст.19 ч.2, Правительство РФ должно установить требования «к обеспечению безопасности [приватных сведений] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

    По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования ч.3 ст.22, согласно которым компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступает в силу с февраля 2007 года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).

    К вопросу об ответственности

    При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

    Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

    Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

    Положения закона, имеющие отношение к ИБ, просуммированы в таблице ниже. Однако отметим, что Правительство РФ устанавливает требования к обеспечению безопасности персональных данных, а контроль над выполнением этих требований будет возложен на федеральный орган исполнительной власти (см. ст.19 ч.3). Сегодня неясно, будет ли создан новый уполномоченный правительственный орган или соответствующие полномочия будут делегированы уже существующей госструктуре. Тем не менее, этот орган сможет установить дополнительные требования к ИБ и оформить их в виде стандарта. Таким образом, специалистам по ИБ следует не терять бдительности и помимо всего прочего отслеживать нормативные инициативы государства.

    Требования закона «О персональных данных» к ИБ

    Номер статьи и пункта
    Расшифровка

    Ст.5 ч.2, Ст.21 ч.4
    Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня.

    Ст.19 ч.1
    Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий

    Ст.19 ч.4
    Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

    Анализ представленных в таблице требований показывает, что ничего невозможного закон не требует от бизнеса и госорганов. Конечно, организациям придется инвестировать ресурсы в безопасность персональных данных, а именно: в системы предотвращения утечек и средства шифрования. Однако других препятствий, кроме бюджетных ограничений, на этом пути не предвидится, так как все необходимые решения технические решения уже представлены на рынке и поддерживаются целым рядом системных интеграторов и крупных поставщиков.
    http://www.securitylab.ru/analytics/275948.php

    На государственном уровне обязанности по контролю за соблюдением прав граждан при обработке их персональных данных возложены на «федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных». На практике эти функции сейчас осуществляет Федеральная служба по техническому и экспортному контролю. Она же выдает лицензии организациям, которые имеют право проводить сертификацию и аттестацию операторов. Сейчас таких организаций свыше 200.