На кого распространяется фз 152 – 152 ФЗ – соответствие и требования закону о защите персональных данных

Соответствие закону о персональных данных 152-ФЗ

KT&G

Ведущая табачная компания в Южной Корее и пятая в мире.

Nautilus Hyosung

Один из ведущих мировых производителей банкоматов и другого оборудования для банков. В России компанию представляет ООО «Хесон Рус».

Fiat Chrysler Automobiles

Итало-американский автопроизводитель, седьмой в мире по числу выпускаемых машин.

Папа Джонс

Американская сеть пиццерий. В России и СНГ работает с 2003 года и имеет 193 ресторана.

Барьер

Один из ведущих мировых игроков рынка в области очистки воды; марка № 1 в России. Входит в международный холдинг BWT Group.

doTERRA

Американский производитель и дистрибьютор эфирных масел. Более 5 млн потребителей по всему миру.

Charuel

Российская компания, производит женскую одежду. Имеет собстенную торговую сеть из 50 магазинов по всей России и интернет-магазин.

AliExpress

Глобальная торговая площадка по продаже товаров из Китая. Входит в Топ-50 самых посещаемых сайтов в мире. Аудитория в России — около 22 млн человек в месяц.

Сталь-Логистик

Оптовая продажа сырья для металлургии. Среди клиентов компании — крупнейшие российские металлургические заводы.

АО «ПромКапитал»

Один из лидеров на рынке аренды и управления коммерческой недвижимостью в Москве

ФосАгро

Производитель кормового монокальцийфосфата, лидер по производству фосфорных удобрений, фосфорнокислого аммония и диаммонийфосфата

Hoya

Мировой производитель очковых линз. В компании работает около 35 000 человек в более 100 дочерних предприятиях по всему миру

Linxtelecom

ООО «Связь ВСД» — представительство международного телекоммуникационного холдинга Linx

ГФК-Русь

Компания немецкого холдинга GFK Group, специализируется на проведении маркетинговых и социальных исследований

Shopping Live

Одна из самых крупных компаний на рынке телешоппинга в России, ТВ-магазин с широким ассортиментом. Принадлежит немецкой компании HSE24 Group

Роза Хутор

Круглогодичный горный курорт, приспособленный для высококлассного обслуживания более десяти тысяч человек в день

Иннотера

Французская фармацевтическая компания, занимающаяся современными разработками в области лечения большинства распространенных заболеваний

1solution.ru

Каковы требования к защите персональных данных по 152-ФЗ?

Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии. Из статьи далее вы узнаете, какие сведения могут быть отнесены к персональным данным и какие требования предъявляются законодателем к обеспечению их защиты от несанкционированного доступа.

 

Персональные данные — понятие и сущность

Конфиденциальность персональных данных

Технические требования к обработке персональных данных по 152 ФЗ

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Требования закона ко 2-му и 1-му уровням защиты

Персональные данные — понятие и сущность

Понятие «персональные данные» установлено п. 1 ст. 3 федерального закона «О персональных данных» № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено. Таким образом, к персональным данным (далее — ПД) могут быть отнесены:

  • Ф. И. О.;
  • дата и место рождения;
  • адрес регистрации и проживания;
  • семейное и материальное положение;
  • образование;
  • место работы;
  • размер дохода;
  • профессия и пр.

Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст. 3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.

Конфиденциальность персональных данных

Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника. За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.

Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.

К организационным мероприятиям, в частности, могут быть отнесены:

  • формирование упорядоченных систем хранения ПД;
  • разработка внутренней нормативной документации, определяющий порядок сбора, обработки и хранения ПД;
  • обучение персонала, в обязанности которого входит работа с ПД.

В качестве технических мероприятий могут выступать:

Не знаете свои права?

Подпишитесь на рассылку Народный СоветникЪ.
Бесплатно, минута на прочтение, 1 раз в неделю.

  • использование программных средств защиты информации;
  • применение антивирусных программ и межсетевых экранов;
  • создание VPN-каналов для передачи ПД за пределы созданной на предприятии системы защиты информации, и пр.

Технические требования к обработке персональных данных по 152 ФЗ

В тексте ФЗ № 152 не содержится прямых указаний на то, какие именно методики должен использовать оператор для технического обеспечения безопасности используемых данных. Однако ч. 3 указанной статьи содержит ссылку на принимаемые Правительством РФ постановления, устанавливающие требования к обработке персональных данных.

В частности, ч. 4 постановления Правительства РФ «Требования к материальным носителям…» от 06.07.2008 № 512 установлено, что материальные носители, используемые оператором для хранения ПД, должны обеспечивать:

  1. Защиту от несанкционированного внесения третьими лицами исправлений и дополнений в информацию после ее извлечения из информационной системы ПД.
  2. Обеспечение лицам, обладающим соответствующими полномочиями, доступа к хранящимся на носителе данным.
  3. Возможность идентификации информационной системы, в которую были внесены ПД, и оператора, которым они были внесены.
  4. Невозможность несанкционированного доступа к хранящимся на носителе ПД.

Срок использования оператором ПД материального носителя, в соответствии с п. 6 постановления № 512, не должен превышать указанного производителем максимального срока эксплуатации.

Примечание: действие указанных требований не распространяется на бумажные носители, хранящие ПД работников.

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Помимо ссылки на постановление Правительства РФ № 512 ч. 3 ст. 19 ФЗ № 152 содержит ссылку на постановление Правительства «Об утверждении требований…» № 1119 от 01.11.2012. Установленные данным актом требования (далее — Требования) определяют общие вопросы, касающиеся защиты данных, обрабатываемых оператором ПД.

Согласно п. 4 Требований, оператор ПД может самостоятельно определить перечень программных продуктов, применяемых для защиты ПД, но при этом ему стоит руководствоваться нормативными актами, принимаемыми ФСБ РФ и ФСТЭК РФ. Уровень защиты информации, который должен обеспечить оператор, зависит от того, какие угрозы актуальны для конкретной системы хранения информации, внедренной на предприятии. Виды угроз определены п. 6 Требований, п. 8 устанавливает условия, при наличии которых оператор ПД обязан обеспечить определенный уровень защиты (от 4-го до 1-го).

Так, для обеспечения 4-го уровня защиты необходимо (п. 13):

  1. Ограничить круг лиц, имеющих доступ к помещениям, в которых хранятся ПД, а также предотвратить возможность несанкционированного доступа к таким хранилищам.
  2. Обеспечить сохранность носителей, содержащих ПД.
  3. Определить круг сотрудников, имеющих доступ к ПД.
  4. Использовать средства, обеспечивающие защиту ПД, характеристики которых соответствуют законодательно установленным требованиям.

Для обеспечения 3-го уровня защиты оператору необходимо выполнить перечисленные выше требования, а также назначить сотрудника, на которого будут возложены обязанности по обеспечению безопасности размещенных в информационной системе данных (п. 14).

Требования закона ко 2-му и 1-му уровням защиты

Ко 2-му и 1-му уровням защиты законодатель предъявляет более жесткие требования, чем к 4-му и 3-му. Для обеспечения 2-го уровня безопасности оператору необходимо выполнить требования, установленные для 3-го уровня, а также ограничить доступ к сведениям, хранящимся в электронном журнале сообщений, со стороны лиц, не имеющих полномочий по их использованию в ходе осуществления своей трудовой деятельности (п. 15).

Для обеспечения 1-го уровня защиты оператор ПД обязан выполнять требования, предъявляемые к системе безопасности 2-го уровня, а также (п. 16):

  1. Автоматически фиксировать в электронном журнале безопасности сведения об изменениях объема полномочий сотрудников, обладающих доступом к хранящимся в информационной системе персональным данным.
  2. Создать на предприятии подразделение, функционал которого включает обеспечение безопасности ПД, хранящихся в информационной системе, или возложить указанные обязанности на иное подразделение предприятия.

Итак, работодатель обязан обеспечивать сохранность конфиденциальности информации, получаемой им от работников и имеющей статус персональных данных. Законодатель устанавливает перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых организацией сведений. В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты. Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодатель.

nsovetnik.ru

О чем гласит закон О персональных данных 152-ФЗ

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных. В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество) . Такие компании, организации и физические лица относятся к операторам персональных данных. Действие закона не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя; (утратил силу — Федеральный закон от 25.07.2011 N 261-ФЗ) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».(введен Федеральным законом от 28.06.2010 N 123-ФЗ) Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор) , операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д. ) обрабатываемых в информационных системах Компании, и предпринять ряд действий: Направить уведомление об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3) Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4) Уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4) Уведомление об обработке персональных данных и письменное согласие субъекта персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2, ст. 6 п. 2)

Круг организаций, деятельность которых регулируется Федеральным Законом Российской Федерации № 152-ФЗ «О персональных данных» , наиболее широк и разнообразен — от небольшого ресторана, в котором имеют место только личные дела сотрудников, до областной больницы, обрабатывающей данные о состоянии здоровья сотен тысяч пациентов. По этой причине и подход компании Deiteriy к каждому заказчику комплексного решения 152-ФЗ о ПДн весьма индивидуален. Вся работа по внедрению 152-ФЗ последовательно достигает три цели: оценить текущее положение, выполнить требования законодательства и убедиться в том, что все внедренные меры работают. На первом этапе специалисты компании Deiteriy выполняют инвентаризацию информационных систем персональных данных, строят модель актуальных угроз и определяют применимые к этим системам требования безопасности. Затем разрабатывается и внедряется система обеспечения информационной безопасности, или выполняется доработка существующей системы. Такая системы состоит из технических средств защиты информации и бизнес-процессов, описанных внутренними нормативными документами и выполняемых обученными сотрудниками. В завершение проводится проверка соблюдения применимых требований Федерального Закона и подзаконных актов. Внедряемые в рамках 152-ФЗ средства защиты могут успешно применяться для выполнения требований других законов и стандартов, например к участникам национальной платёжной системы, банкам и организациям, работающим с платёжными картами. Компания Deiteriy обладает необходимой для выполнения работ по 152-ФЗ лицензией ФСТЭК России на техническую защиту конфиденциальной информации, является членом технического комитета по стандартизации «Защита информации» (ТК 362) и ведет активную исследовательскую деятельность по гармонизации требований российских и международных стандартов.

touch.otvet.mail.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *