- •1. Основные понятия Федерального закона "о персональных данных"
- •1.1. Содержание категории "персональные данные"
- •1.2. Область применения закона «о персональных данных»
- •1.3. Виды и цели обработки персональных данных
- •1.4. Согласие субъекта на обработку его персональных данных
- •1.5. Согласие субъекта в письменной форме
- •1.6. Обязанности оператора при сборе персональных данных
- •1.7. Передача обработки персональных данных
- •1.8. Особенности обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
- •1.8.1. Обработка персональных данных работников
- •1.8.2. Обработка персональных данных уволенных работников
- •1.8.3. Обработка персональных данных соискателей на замещение вакантных должностей
- •1.8.4. Обработка персональных данных лиц, находящихся в кадровом резерве
- •2. Категории персональных данных. Права субъектов персональных данных
- •2.1. Специальные категории персональных данных
- •2.2. Биометрические персональные данные
- •2.3. Особенности отнесения фото- и видеоизображений, дактилоскопической информации к биометрическим персональным данным
- •2.3.1. Отнесение фото- или видеоизображений субъекта к биометрическим персональным данным
- •2.3.2. Отнесение материалов видеосъемки к биометрическим персональным данным
- •2.3.3. Отнесение дактилоскопической информации к биометрическим персональным данным
- •2.4. Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные
- •2.5. Права субъектов персональных данных
- •2.5.1. Право субъекта на доступ к его персональным данным
- •2.5.2. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
- •2.5.3. Обязанности оператора при обращении к нему субъекта, его представителя, или получения запроса от Роскомнадзора
- •3. Обязанности оператора персональных данных
- •3.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом «о персональных данных»
- •3.2. Обязанности лица, ответственного за организацию обработки персональных данных
- •3.3. Политика организации в отношении обработки персональных данных
- •3.4. Перечень мер для операторов, являющихся государственными или муниципальными органами
- •3.5. Обезличивание персональных данных
- •3.6. Локальные акты по вопросам обработки персональных данных
- •3.7. Организация обработки персональных данных
- •3.8. Подача уведомления в Роскомнадзор об обработке персональных данных
- •3.9. Ответственность за нарушение требований по обращению с персональными данными
- •3.9.1. Дисциплинарная ответственность
- •3.9.2. Материальная ответственность
- •3.9.3. Гражданско-правовая ответственность
- •3.9.4. Административная ответственность
- •3.9.5. Уголовная ответственность
- •4. Работа с персональными данными в организации
- •4.1. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
- •4.2. Трансграничная передача персональных данных
- •4.3. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
- •4.4. Порядок уточнения, прекращения обработки, блокирования и уничтожения персональных данных
- •4.4.1. Блокирование персональных данных
- •4.4.2. Уточнение персональных данных
- •4.4.3. Уничтожение персональных данных
- •5. Требования к защите персональных данных при их обработке в информационных системах
- •5.1. Требования Федерального закона "о персональных данных" к обеспечению безопасности персональных данных
- •5.2. Уровни защищенности персональных данных при их обработке в информационных системах
- •5.3. Требования к защите персональных данных при их обработке в информационных системах
- •5.4. Выбор организационных и технических мер по обеспечению безопасности персональных данных при их обработке в испДн в соответствии с приказом фстэк № 21
- •5.4.1. Определение базового набора мер защиты информации для установленного уровня защищенности
- •5.4.2. Адаптация базового набора мер с учетом структурно-функциональных характеристик и особенностей функционирования испДн
- •5.4.3. Уточнение набора мер с учетом не выбранных ранее мер, направленных на нейтрализацию всех актуальных угроз
- •5.4.4. Дополнение уточненного набора мерами, установленными иными нормативными правовыми актами
- •5.4.5. Компенсирующие меры по снижению актуальных угроз
- •5.4.6. Классы сертифицированных средств защиты информации для обеспечения уровней защищенности пДн
- •5.4.7. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных
- •Содержание
4.2. Трансграничная передача персональных данных
Трансграничная передача персональных данных – это передача оператором персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу [6, ст.12].
До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов. Министерство связи и массовых коммуникаций РФ в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г. В число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
Государство, не являющееся стороной Конвенции Совета Европы, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов, при условии соответствия действующих в государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции. Полный перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержден приказом Роскомнадзора № 274 от 15.03.2013 г. (Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Корея, Перу, Сенегал, Тунис, Чили).
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов, может осуществляться в случаях:
1) наличия согласия субъекта в письменной форме на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами РФ;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности транспортного комплекса;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта или других лиц при невозможности получения согласия субъекта в письменной форме.
Федеральным законом № 242 от 21.07.2014 г. внесены изменения в ФЗ-152, касающиеся порядка обработки персональных данных в информационно-телекоммуникационных сетях [23].
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Исключением являются случаи, указанные в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ-152.
Остальные положения данного закона уточняют особенности контроля исполнения данного требования:
устанавливается право РКН ограничивать доступ к ПДн, обрабатываемых с нарушением законодательства;
устанавливается обязанность оператора уведомлять РКН о месте хранения ПДн россиян;
устанавливается порядок ограничения доступа к информации, обрабатываемой с нарушениями законодательства;
устанавливается необходимость создания реестра нарушителей законодательства о ПДн.