Какая информация должна содержаться в личной информации

Какая информация должна содержаться в личной информации thumbnail

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

Подробнее об обязанностях оператора ПДн и уровнях защищенности персональных данных можно прочитать в двух других наших статьях: «Как соблюсти 152-ФЗ» и «Защита персональных данных в облаке».

Читайте также:  Какие витамины содержатся в настойке женьшеня

Что является персональными данными и что о них важно знать

  1. Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, email, группа крови, фотография.
  2. Персональные данные делят на четыре группы. От того, к какой группе они относятся зависит уровень необходимой защиты данных при их хранении и обработке.
  3. Хранение ПДн — сохранение их у себя в базах данных или другом месте. Обработка ПДн — любые действия с ними, в том числе сбор, анализ, изменение и удаление.
  4. Если вы работаете с персональными данными, то обязаны соблюдать 152-ФЗ о защите персональных данных.

Источник

Максим М.

23 ноября 2018  · 119,5 K

Согласно из определения данного в ФЗ “о персольнальных данных” в статье 3

1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

к ним относят:

  1. фамилия, имя, отчество;
  2. год, месяц, дата и место рождения;
  3. адрес места регистрации и проживания;
  4. семейное, социальное, имущественное положение;
  5. образование, профессия, доходы;
  6. паспортные данные;
  7. отношение к религии
  8. национальность
  9. Сведения, которые характеризуют физиологические и биологические особенности человека

Перечень персональных данных расширительный, здесь передоставлены самые популярные.

Имеил может в своём названии нести информацию о имени и фамилии человека, например anatolysherstnev@123.ru.

Почта вымышленная:)

Номер телефона (цифры) не являются персональными данными. Номер телефона может являться персональнами данными только в совокупности с ФИО. Телефон + фамилия достаточно узко сужает круг лиц для того, что бы можно было установить личность, например редкая фамилия (одна в стране или регионе).

Насчёт связки имя + телефон или отчество + телефон достаточно спорно установить личность, в таких случаях суд будет решать по обстоятельствам конкретного дела. Другие категории так же могут сочетаться в совокупности, а по отдельности не нести информацию о конкретном лице.

Если в совокупности не возможно индифицировать человека по данным то такие персональные данный являются обезличенными.

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

И.И.Ивановых в стране сотни тысяч., а вот И.И. Иванов с +7 111-111-11-11 с конкретным указанным номером телефона такой один.

Поставьте палец вверх если ответ вам был полезен, буду вам благодарен. Пишите ваши вопросы в комментариях!

Скажите, а номер Диплома о высшем образовании является персональными данными или нет? По сути 152ФЗ вроде как да… Читать дальше

Согласно Федеральному закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных):
· фамилия, имя, отчество;
· год, месяц, дата и место рождения;
· адрес места регистрации и проживания;
·… Читать далее

не правильно, цифры ( номер телефона) не являются персональными данными. Номер телефона может являться… Читать дальше

Самые главные персональные данные – это дата, месяц, год, место рождения, которые являются нематериальными благами, сопровождают от рождения до самого конца, никогда не меняются, плавно перетекая из Свидетельства о рождении в СНИЛС, паспорт гражданина, ИНН физического лица, в ЕГРН, если гражданин имеет какое-то недвижимое имущество (в т.ч. земельные… Читать далее

Сведения в ИНН физического лица (ф.и.о. дата, месяц год место рождения), Сведения СНИЛС (ф.и.о. дата месяц год место рождения), Сведения паспорта (ф.и.о.дата, месяц год место рождения, адрес места жительства), Сведения ЕГРН о характеристиках объекта недвижимости с указанием места жительства субъекта недвижимости.

Сомневаюсь, что номер телефона можно отнести к персональным данным, но многие не пожелали, что бы номер знал кто либо из не знакомых без его согласия. У меня депутат запросил акты, в которых указаны адреса дома, ФИО,даже номер квартиры. Обязан ли я давать такую информаци человеку-депутату(тем более ко мне не приязненные отношения)?

С какой целью депутат сделал такой запрос? Владельцы персональных данных давали ВАм свое письменное согласие на… Читать дальше

Это первый ответ автора, оцените его!

Следует учитывать, что персональные данные это прежде всего информация. Объём информации позволяет соотнести её с конкретным физическим лицом (гражданином) и только в этом случае можно утверждать о том, что информация стала персональными данными. Именно об этом говорит закон в термине, а именно, “определяемому физическому лицу”.

Т.о. подлежит… Читать далее

На кого распространяются требования ФЗ-152 “О персональных данных”?

На всех юридических и физических лиц (граждан), на которых распространяется законодательство России, а также на государственные органы и органы местного самоуправления. Это если коротко. На королеву Англии 152-ФЗ не распространяется до тех пор, пока данное физическое лицо не станет гражданином России, собственно как и на любое GOOOGLE Ltd. или Inc. до тех пор пока в России не зарегистрировано какое-либо ООО или АО. 🙂 Юрисдикция видите ли имеет границы.

Прочитать ещё 3 ответа

Какие документы по персональным данным нужны для соответстия 152-ФЗ?

Создание документов по персональным данным (локальных актов) – одна из обязанностей компании согласно ст. 18.1 Закона о персональных данных №152.

Локальные акты — это документальное отражение происходящих в вашей компании процессов обработки персональных данных. Их наличие подтверждает выполнение оператором большинства предусмотренных законодательством обязанностей, и именно их в первую очередь проверяет Роскомнадзор.

Несмотря на наличие в законе № 152-ФЗ обязанности по внедрению локальных актов, перечень самих актов ни закон, ни Роскомнадзор не называет. Вместе с этим, судя по практике примерный перечень такой:

  1. Согласие на обработку персональных данных

  2. Приказ о назначении ответственного за обработку

  3. Политика конфиденциальности

  4. Информированное согласие пользователя сайта

  5. Положение об обработке и защите персональных данных

  6. Последствия отказа предоставить персональные данные

  7. Соглашение о неразглашении информации содержащей персональные данные

  8. Перечень форм, содержащих персональные данные

  9. Правила рассмотрения запросов субъектов персональных данных

  10. Правила осуществления внутреннего контроля

  11. Модель угроз безопасности

  12. Договор поручения на обработку персональных данных

  13. Приказ о назначении ответственного за безопасность персональных данных

  14. Приказ о хранении бумажных носителей персональных данных

  15. Приказ об утверждении перечня персональных данных

  16. Приказ о допуске к обработке персональных данных

  17. Приказ об утверждении перечня ИСПДн

  18. Приказ об определении контролируемой территории

  19. Инструкция ответственного за организацию обработки персональных данных

  20. Инструкция ответственного за обеспечение безопасности персональных данных

  21. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн

  22. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн

  23. Инструкция пользователя ИСПДн

  24. Инструкция по учёту и хранению съёмных носителей

  25. Инструкция по резервному копированию и восстановлению

  26. Инструкция по организации антивирусной защиты в ИСПДн

  27. Инструкция пользователя при возникновении нештатной ситуации

  28. Журнал учета запросов субъектов персональных данных

  29. Журнал учета съемных носителей, содержащих персональные данные

  30. Журнал учета прохождения первичного инструктажа работниками

  31. Журнал регистрации нарушения и восстановления работоспособности

  32. Журнал учёта прав доступа к ИСПДн

  33. Журнал учёта средств защиты информации

  34. Журнал учёта проверок контролирующими органами

  35. Форма запроса о наличии и ознакомлении с персональными данными

  36. Форма запроса на уточнение персональных данных

  37. Форма запроса на уничтожение персональных данных

  38. Форма запроса на блокирование персональных данных

  39. Форма запроса с отзывом согласия на обработку персональных данных

  40. Форма уведомления об устранении неправомерных действий с персональными данными

  41. Форма уведомления об отказе внесения изменений в персональные данные субъекта

  42. Форма уведомления органа по защите прав субъектов персональных данных

  43. Акт определения уровня защищённости персональных данных

  44. Акт оценки потенциального вреда субъектам персональных данных

  45. Акт об уничтожении персональных данных

Читайте также:  Магний для чего нужен в каких продуктах содержится

Прочитать ещё 2 ответа

У кого есть доступ к моим персональным данным, и могут ли они быть использованы против меня?

Системный администратор компании-разработчика ПО

Ваши персональные данные есть (как минимум) у государства (не говоря уже про других операторов), через дырявые, насквозь коррумпированные руки которого они раскидываются где ни попадя, поэтому можете считать, что они есть у всех.

Документы валяются в открытом доступе, сваливаются из бумажных архивов прямо в уличные помойки, сливаются операторами всем заинтересованным лицам за мзду. Это рядовые ситуации на которые обращают внимание только тогда, когда пахнет скандалом.

https://www.kommersant.ru/doc/3800268
https://www.kommersant.ru/doc/3997757
https://www.banki.ru/news/lenta/?id=10893991

Тысячи таких новостей, которые на самом деле рядовому гражданину не интересны.

Ваши персональные данные не только могут, но обязательно будут использованы против вас кем угодно как только это станет потенциально сколько-нибудь выгодно.

Прочитать ещё 2 ответа

Источник

Что такое персональные данные?


Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
– другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?


Оператор персональных данных – это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных – это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?


Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 – обезличенные и (или) общедоступные персональные данные; 
• категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 – в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
  класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
  класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
  класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
  класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

    
Объем / Категория

Объем 3 
(<1 000,  
организация)

Объем 2 
(1 000-100 000, 
отрасль, город)

Объем1   
(>100 000, 
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Класс 4

Класс 4

Класс 4

Категория 3 (идентификационные)

Класс 3

Класс 3

Класс 2

Категория 2 (идентификационные и еще)

Класс 3

Класс 2

Класс 1

Категория 1 (медицинские, социальные)

Класс 1

Класс 1

Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 

Судный день отсрочен до 1 января 2011 года


Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Читайте также:  Какие сведения содержаться в техническом плане

Обязательные требования по защите информационных систем персональных данных


Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных


Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?


Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных


Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут: 
— гражданскую, 
– уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), 
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2), 
—  дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) 
и  иную  предусмотренную  законодательством  РФ  ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Источник