Файловый архив студентов. Файловый архив студентов.
1327 вузов, 5448 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Комплексное обеспечение защиты информации объекта информатизации
Файл:

Лекции КЗИ / Лекция_КЗИ_full

.pdf
Скачиваний:
13
Добавлен:
10.12.2024
Размер:
9.33 Mб
Скачать

6.Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности, актуальные при обработке данных

винформационных системах, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, с учетом содержания персональных данных, характера и способов их обработки.

7.Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с таким федеральным органом исполнительной власти, в порядке, установленном Правительством РФ. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8.Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах осуществляются федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9.Федеральные органы исполнительной власти, уполномоченные в области обеспечения безопасности, противодействия техническим разведкам и защиты информации, решением Правительства РФ с учетом содержания обрабатываемых данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами, без права ознакомления с персональными данными, обрабатываемыми в информационных системах.

10.Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации

ис применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11.Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта, а

также уполномоченного органа по защите прав субъектов

1.Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта или его представителя либо в течение тридцати дней с даты получения запроса субъекта или его представителя.

2.В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте или персональных данных субъекту или его представителю при их обращении либо при получении запроса субъекта или его представителя оператор обязан дать

вписьменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта или его представителя либо с даты получения запроса субъекта или его представителя.

3.Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных

данных, по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта или его представителя либо по запросу субъекта или его представителя либо уполномоченного органа по защите прав субъектов оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2.В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом или его представителем либо уполномоченным органом по защите прав субъектов, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по его поручению, оператор в срок, не превышающий трех рабочих дней, обязан прекратить неправомерную обработку. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор

всрок, не превышающий десяти рабочих дней, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта или его представителя, а в случае, если обращение субъекта или его представителя либо запрос уполномоченного органа по защите прав субъектов были направлены уполномоченным органом по защите прав субъектов, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5.В случае отзыва субъектом согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6.В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Уведомление об обработке персональных данных

1.Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2.Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1)обрабатываемых в соответствии с трудовым законодательством;

2)полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности