Защита персональных данных фз 152 обучение

Обучение по защите персональных данных с выдачей документов о повышении квалификации Программное и аппаратное обеспечение Обучение и консалтинг Автоматизация 1С:Предприятие

Защита персональных данных фз 152 обучение

Обучение по защите персональных данных с выдачей документов о повышении квалификации

  • Программное и аппаратное обеспечение
  • Обучение и консалтинг
  • Автоматизация 1С:Предприятие
  • Информационная безопасность
    • Услуги
    • Партнёры
    • Лицензии
  • Автоматизация коммуникаций и типовых задач
  • Инфраструктура и ЦОД
  • Системы управления доступом
  • Системы безопасности и видеонаблюдения
  • Заказная разработка ПО
  • Субподрядные работы

20-летний опыт работы, высокие компетенции и официальное партнерство с производителями гарантирует нашим заказчикам высокий уровень обслуживания и максимальную эффективность инвестиций

Учебный курс «Организация защиты персональных данных в соответствии с требованиями законодательства Российской Федерации (ФЗ‐152)»

В курсе рассматриваются основные требования законодательства Российской Федерации по защите персональных данных. Оказывается помощь по разъяснению и выполнению данных требований в организациях. Особое внимание у делятся практическим вопросам защиты персональных данных разработке внутренних нормативных документов, классификации информационных систем, созданию модели угроз, подготовке уведомлений в уполномоченный орган по защите прав субъектов персональных данных.

Занятия включают лекционную и практическую работу.

Длительность курса
Целевая аудитория
  • Руководители, Специалисты по защите информации, Специалисты ИТ,
  • Сотрудники кадровой службы и управления персоналом,
  • Специалисты, ответственные за защиту персональных данных в организациях
Программа обучения
1. Введение. Общие понятия о персональных данных.
  • Законодательство Российской Федерации об обработке и защите персональных данных.
  • Понятие персональных данных. Специальные категории персональных данных. Биометрические персональные данные.
  • Виды обработки персональных данных в организации.
  • Ответственность за нарушение требований законодательства РФ «О персональных данных».
2. Основные требования руководящих документов по защите персональных данных.
  • Перечень основных руководящих документов по защите персональных данных.
  • Основные требования документов:
    • Федеральный закон от 27.07.2006 № 152‐ФЗ «О персональных данных».
    • Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера».
    • Указ Президента Российской Федерации от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно‐телекоммуникационных сетей международного информационного обмена».
    • Федеральный Закон от 27.07.2006 № 149‐ФЗ «Об информации, информационных технологиях и о защите информации».
    • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
    • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
    • Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
    • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
    • Приказ Роскомнадзора России от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
    • Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
3. Организационные меры по защите и приведению информационной системы персональных данных (далее ‐ ИСПДн) в соответствие с требованиями законодательства РФ.
  • Алгоритм работы оператора для выполнения требований Федерального закона от 27.07.2006 № 152‐ФЗ «О персональных данных».
  • Внутренние нормативные документы по охране конфиденциальности сведений, их содержание, порядок разработки и ввода в действие.
  • Подготовка уведомлений об обработке персональных данных в уполномоченный орган.
4. Техническая защита персональных данных в информационных системах.
  • Классификация информационных систем персональных данных.
  • Методика разработки частной модели угроз для организации и определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Технические методы защиты персональных данных. Образцы продуктов защиты информации.
5. Особенности применения шифровальных (криптографических) средств для обеспечения безопасности персональных данных.
  • Методические рекомендации ФСБ России по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
  • Типовые требования ФСБ России по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
6. Контроль и надзор за обработкой персональных данных.
  • Регламент проведения проверок.
  • Плановые и внеплановые проверки.
  • Форма проведения проверки.
  • Оформление результатов проверки.
7. Проведение практической работы по итогам проведенного Курса.
  • Определение класса ИСПДн.
  • Определение уровней защищенности ИСПДн.
  • Разработка Частной модели угроз безопасности ПДн в ИСПДн.
  • Основные требования Приказа Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Практическое руководство по выполнению требований 152-ФЗ

Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Курс «Обеспечение безопасности персональных данных в учреждениях и на предприятиях»

1 календарная неделя.

Для аттестации по программе повышения квалификации необходимо пройти Тестовое Задание. Данный тест является формой итогового контроля (аттестации) обучающихся по освоению программы повышения квалификации. Для успешного прохождения теста слушатели должны владеть знаниями по основным темам программы. Успешное прохождение тестирования — от 60 баллов (%).

Документ будет оформлен в течение 10 рабочих дней с момента окончания обучения.

При условии успешного прохождения программы выдается удостоверение о повышении квалификации установленного образца. (на основании Лицензии № 4484, выданной Комитетом по образованию Правительства Санкт-Петербурга 09.07.2021 г.)

  1. Законодательство Российской Федерации об обработке персональных данных.
  2. Требования Федерального закона 2006 года № 152-ФЗ «О персональных данных».
  3. Особенности обработки персональных данных без применения средств автоматизации.
  4. Требования к информационной системе персональных данных.
  5. Разработка мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
  6. Разработка основных документов, регламентирующих обработку персональных данных.
  7. Ответственность должностных лиц организации за нарушения требований законодательства Российской Федерации о персональных данных.

Стоимость курса «Обеспечение безопасности персональных данных в учреждениях и на предприятиях»

Повышение квалификации учителей

Профессия педагога – одна из самых массовых и самых ответственных. В его руках – ответственность за формирование личностных и метапредметных результатов образования в соответствии с требованиями федеральных государственных образовательных стандартов. В обществе с динамично меняющимися социально-экономическими отношениями, всеобщей информатизацией и компьютеризацией учителям необходимо постоянно учиться, развиваться, самосовершенствоваться. Профессиональный стандарт требует через каждые три года проходить курсы повышения квалификации для учителей. Система непрерывного образования является условием совершенствование общих и профессиональных компетенций педагога, обеспечивающих качество подготовки учеников.

Современные информационно-коммуникационные технологии дают возможность оптимизировать этот процесс и проходить курсы повышения квалификации дистанционно.

Если Вы не знаете, где пройти курсы повышения квалификации учителей в наиболее короткий срок с максимальной экономией времени и материальных средств по необходимой для Вас тематике и получить свидетельство общероссийского образца, зайдите на сайт Центр дополнительного профессионального образования «Экстерн»!

Приглашаем педагогов на дистанционные курсы повышения квалификации для учителей.

Преимущества

Центр «Экстерн» предлагает услуги по организации курсов повышения квалификации для учителей начальной и других категорий педагогических работников. Содержание и учебно-методическое обеспечение дистанционных курсов повышения квалификации учителей разрабатывают ведущие ученые и заслуженные специалисты в области психологии, педагогики и методики Петербурга. Поэтому обучающимся курсов повышения квалификации 2019/2020 для учителей предлагаются только новейшие результаты психолого-педагогических исследований, инновационные психологические методики и научно-практические разработки профессорско-преподавательского состава центральных вузов, авторов современных программ и учебников, экспертов в области образования.

Слушатели, прошедшие обучение на курсах повышения квалификации учителей и дистанционно на базе Центра «Экстерн», отмечают их важные достоинства:

  • содержание и темы курсов повышения квалификации для учителей ежегодно обновляется в соответствии с новыми трендами современного образования, специалисты Центра корректируют и разрабатывают программы по актуальной тематике;
  • тематические направления и материалы дистанционных курсов повышения квалификации для учителей соответствуют обновляющейся нормативно-правовой базе дошкольного, начального, среднего, дополнительного образования, СПО;
  • в случае появления у педагогического работника новых обязанностей в нашей компании есть возможность срочно окончить курсы повышения квалификации учителей и привести уровень своих знаний, умений и навыков в соответствие с выполняемыми им трудовыми функциями;
  • мы предлагаем гибкий график образовательного процесса, позволяющий повышать профессиональный уровень в заочной форме, без отрыва от трудовой деятельности;
  • курсы повышения квалификации учителей организуются, кроме этого, не требуют тратить средства и долгие часы на проезд к месту обучения и обратно, сберегают здоровье педагогов;
  • технические возможности позволяют пройти курсы повышения квалификации для учителей педагогам любого региона Российской Федерации на основе организации индивидуального образовательного маршрута;
  • материалы курсов предоставляются в режиме круглосуточного доступа и др.

Программы повышения квалификации учителей предполагают обратную связь, выполнение и проверку практических работ, индивидуальных заданий, большой объем самостоятельной работы слушателя, который проверяется и оценивается преподавателями. Специалисты Центра предоставляют консультации в период обучения на курсах, под их руководством слушатели выполняют итоговую аттестационную работу.

По итогам обучения по разработанным ведущими специалистами Санкт-Петербурга дистанционным курсам повышения квалификации учителей слушатели получают номерное электронное удостоверение государственного образца с указанием тематики и трудоемкости прослушанного курса.

Тематическое поле наших курсов включает широкий спектр вопросов:

  • инклюзивные технологии;
  • проектирование здоровьесохраняющего образовательного пространства;
  • исследовательская и проектная деятельность учеников;
  • использование активных методов обучения;
  • технологии подготовки к ОГЭ и ЕГЭ;
  • реализация межпредметных связей;
  • мониторинг предметных, метапредметных и личностных достижений обучающихся;
  • профориентация;
  • оказание первой помощи
  • проблемы социализации и др.

Благодаря освоению программы государственных курсов повышения квалификации учителя и другие категории педагогических работников успешно проходят аттестацию на первую и высшую категорию, могут выстраивать индивидуальную траекторию профессионального развития и карьерного роста, достигать вершин профессионализма, быть успешными в любимом деле.

Центр дополнительного профессионального образования

Защита персональных данных фз 152 обучение

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Об этом мы писали здесь. Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Не пропускайте последние новости — подпишитесь
на бесплатную рассылку сайта:

  • десятки экспертов ежедневно мониторят изменения законодательства и судебную практику;
  • рассылка бесплатная, независимо от наличия договора 1С:ИТС;
  • ваш e-mail не передается третьим лицам;

ДОПОЛНИТЕЛЬНОЕ ОБРАЗОВАНИЕ
В ТУСУРЕ

ТОЧНЫЕ ЗНАНИЯ
ОТТОЧЕННЫЕ НАВЫКИ

Специалист по вопросам поступления

  • Безрукова
  • Вера Петровна
  • bvp@2i.tusur.ru
  • 8 (3822) 701-736
  • bezrukova_vera
  • 8-923-434-11-90
  • 8-923-407-66-83

Специалист по вопросам обучения школьников

  • Мазюк
  • Алина Юрьевна
  • pau@2i.tusur.ru
  • 8 (3822) 533-077
  • 8-923-443-24-16

Куратор дистанционного обучения

  • Завадовская
  • Олеся Александровна
  • zoa@2i.tusur.ru
  • 8 (3822) 701-736

Получи подарок — курс «Введение в Интернет вещей» Сетевой академии Cisco

  • Региональные центры компетенций НТИ
  • Ближайшие группы
  • Оплата курса
  • Виртуальный лабораторный стенд
  • Выдаваемые документы
  • Социальный налоговый вычет по расходам на обучение
  • Дополнительное профессиональное образование
  • Контакты и схема проезда
  • ВК
  • Facebook
  • Главная
  • Дополнительное образование и повышение квалификации в ТУСУРе
  • Обеспечение безопасности персональных данных

Обеспечение безопасности персональных данных

  • Описание
  • Преимущества
  • Программа
  • Используемые нормативные документы
  • Статистика и отзывы

Описание программы

После принятия Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ (далее – закон 152-ФЗ) специалисты по защите информации и руководители столкнулись с трудностями: никогда ранее не требовалось проводить таких обширных работ по обеспечению информационной безопасности. Пренебрежение требованиями закона может привести к ненужным проверкам, штрафам, жалобам, которые негативно скажутся на основной деятельности и имидже предприятия.

Курс «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» проводится совместно с Институтом системной интеграции и безопасности ТУСУР – крупным системным интегратором в области создания систем обеспечения комплексной безопасности информации.

Курс предназначен для всех категорий специалистов, на которых возложены обязанности по обеспечению безопасности персональных данных в соответствии с требованиями закона 152-ФЗ:

  • специалистов и руководителей организаций, которые занимаются защитой персональных данных;
  • специалистов, чьи должностные обязанности связаны с обработкой конфиденциальной информации.

Рассматриваются все этапы создания системы защиты персональных данных: от первичного анализа до ввода в действие системы защиты персональных данных. По окончании курса вы будете иметь на руках полный комплект типовых организационно-распорядительных документов оператора персональных данных.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: