Важные сроки и даты в контексте 152-ФЗ

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

Важные сроки и даты в контексте 152-ФЗ

19.12.2005 года – Федеральным законом N 160-ФЗ ратифицирована  Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.)

08.07.2006 года – Принят Государственной Думой

14.07.2006 года – Одобрен Советом Федерации

29.07.2006 года – опубликован в "РГ" - Федеральный выпуск № 000

25.11.2009 года – Федеральный закон Российской Федерации от 01.01.01 г. N 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" по вопросам реализации международных договоров Российской Федерации о реадмиссии"

27.12.2009 года – Федеральный закон Российской Федерации от 01.01.01 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных""

28.06.2010 года – Федеральный закон Российской Федерации от 28 июня 2010 года N 123-ФЗ г. Москва О внесении изменений в статью 1 Федерального закона "О персональных данных" и статью 15 Федерального закона "Об обеспечении доступа к информации о деятельности судов в Российской Федерации"

29.11.2010 года – Федеральный закон Российской Федерации от 29 ноября 2010 г. N 313-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об обязательном медицинском страховании в Российской Федерации""

23.12.2010 года –  Федеральный закон Российской Федерации от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных""

01.07.2011 года – вступил в полную силу (к 1 июля 2011 года должны быть проведены все организационно-распорядительные мероприятия по защите персональных данных, а также решены все вопросы, связанные с технической защитой ИСПДн).

Ответственность

Ст.ФЗ. Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством РФ ответственность. А именно, если быть конкретным:

Ø  КоАП Статья 5.39. Отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием ответственности по статье 3.12;

Ø  КоАП Статья 13.12. Нарушение правил защиты информации, Ответственность может доходить – штраф от 10 000до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административного приостановления деятельности на срок до 90 суток.

Ø  КоАП статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

Ø  УК Статья 137. Нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или арестом на 6 месяцев;

Ø  УК Статья 140. Отказ в предоставлении гражданину информации. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

Кто заинтересован в исполнении требований 152-ФЗ

1.  Любой гражданин РФ, так как является владельцем персональных данных. Защита личной информации (семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация) широко практикуется в странах Европы и США, вот очередь дошла и до России.

2.  Должностные лица учреждений, обрабатывающих персональную информацию. См. пункт «Ответственность».

3.  Коммерсанты. Они заинтересованы в получении прибыли.

Кто должен заниматься защитой информации (персональных данных)

Исходя из требований и буквы закона, это должен делать оператор персональных данных, т. е. мы с вами. Для этого многие уже обучили своих сотрудников на курсах по защите информации и т. п. Это правильно. У кого нет такой возможности – подумайте и заложите в бюджет. Вам же будет спокойнее.

Кто будет проверять реализацию требований закона «О персональных данных»

Контролирующим органом является Роскомнадзор. На сайте www. ***** выкладываются списки организаций, проверка которых запланирована на текущий/следующий год. Дополнительно проверяющим органом может являться ФСТЭК, в части технических средств, используемых для защиты персональных данных. А также ФСБ, в части использования шифровальных средств защиты персональных данных.

Что и как делать, чтобы выполнить требования закона «О персональных данных»

Критически минимально необходимо – подать уведомление в Роскомнадзор о том, что ваша организации является оператором персональных данных. Исключением являются организации, которые обрабатывают персональные данные:

- относящиеся к субъектам, которых связывают с оператором трудовые отношения;

- включающих в себя только ФИО субъектов;

- необходимых для однократного пропуска субъекта на территорию оператора;

- обрабатываемые без использования средств автоматизации;

- другие, ещё более специфические…

Однако, практически в любом учреждении присутствует автоматизированная обработка персональных данных пациентов – подавать уведомление.

В случае получения налогового вычета на детей, в личном деле появляется ксерокопия свидетельства о рождении – подавать уведомление.

Заметьте – проверки Роскомнадзор составляет не по своему списку организаций, т. е. не зависит от реестра операторов ПДн.

ВЫВОД – это надо сделать обязательно, причем срочно.

Как это сделать – электронная форма заявления pd. *****, справа ссылка «Форма уведомления».

Базовый комплект/список мер по обеспечению безопасности персональных данных:

1.  Приказ о введении режима защиты персональных данных и назначение ответственного за обеспечение защиты персональных данных;

2.  Приказ о введении контролируемой зоны и утверждения Перечня персональных данных, обрабатываемых в учреждении (по каждому подразделению отдельно);

3.  Схема (план) учреждения с расположением рабочих станций (ПК) и серверов (составляется на основании планов этажей с условными обозначениями местами установки ПК);

4.  Получение согласия субъектов на обработку персональных данных (приказ об утверждении формы согласия для сотрудников, доработать первичные формы учета пациентов строкой «согласен на обработку персональных данных»);

5.  Составить и утвердить список лиц, имеющих доступ к персональным данным (по каждой ИСПДн отдельно);

6.  Утвердить журнал обращений граждан о выполнении их законных прав, при обработке персональных данных (по каждой ИСПДн отдельно).

7.  Провести классификацию каждой ИСПДн.

Несколько слов о неавтоматизированной обработке персональных данных. Обычно это кадровая работа или ведение медицинских карт пациентов. Важно понимать и исполнять следующие правила:

1.  Выделить как ИСПДн – надо обязательно, но уточнить, что работа ведется в неавтоматизированном режиме;

2.  Персональные данные должны обособляться от иной информации – в одном журнале/книге нельзя записывать информацию о двух и более сотрудниках/пациентах и тем более скрещивать эту информацию;

3.  Документировать места хранения персональных данных и обеспечить раздельное хранение носителей, содержащих персональные данные, обработка которых ведется в разных целях (один сейф для карт пациентов и сотрудников и/или договоров подряда использовать нельзя);

4.  Лица, осуществляющие обработку персональных данных, должны быть письменно проинформированы о: факте обработки ими ПДн, категориях ПДн, об особенностях и правилах осуществления такой обработки – т. е. разработать и внедрить должностные регламенты лиц, имеющих доступ к ПДн.