ПравоПохожие презентации:
Обработка и обеспечение безопасности персональных данных
1. ОБРАБОТКА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
АО «Авиакомпания «Россия»27.08.2025
Кашаев Алексей Витальевич
Руководитель группы информационной безопасности
отдела экономической безопасности
2.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Цель подготовки:
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации о персональных данных, в том числе требованиями к обеспечению
безопасности персональных данных.
Содержание курса:
Понятие персональных данных и основные понятия, используемые в Федеральном законе №152-ФЗ «О персональных данных»
Категории персональных данных
Виды персональных данных в зависимости от источника их получения
Основные действующие лица в процессе обработки персональных данных
Поручение обработки персональных данных
Принципы обработки персональных данных
Условия обработки персональных данных
Согласие на обработку персональных данных
Категории субъектов, персональные данные которых обрабатываются в АКР
Права субъектов персональных данных и основания ограничения прав субъектов персональных данных по законодательству РФ
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Обработка персональных данных (блокирование, уничтожение, передача персональных данных)
Трансграничная передача персональных данных и обязанности оператора при осуществлении (намерении) трансграничной передачи
персональных данных
Обязанности оператора персональных данных
Требования к оценке вреда, который может быть нанесен субъектам персональных данных
Уровни защищенности персональных данных
Требования по неавтоматизированной обработке персональных данных
Обязанности должностных лиц, допущенных к обработке персональных данных
Средства защиты информации, используемые оператором персональных данных
Контроль знаний:
В качестве итогового контроля знаний используется тестирование после изучения курса подготовки.
3. Классификация информации по режиму доступа в РФ
АО «АВИАКОМПАНИЯ «РОССИЯ» |Классификация информации по режиму доступа в РФ
Информация
Открытая
Профессиональная
тайна
Персональные
данные
С ограниченным
доступом
Конфиденциальная
информация
Государственная
тайна
Служебная тайна
Тайна следствия и
судопроизводства
Коммерческая
тайна
4. Понятие персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Понятие персональных данных
Персональные данные (далее - ПД) - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения,
адрес местожительства, паспортные данные; социальное положение, имущественное
положение, сведения об образовании, сведения о доходах, сведения о профессии и др.
5. Основные понятия, используемые в Федеральном законе №152-ФЗ «О персональных данных»
АО «АВИАКОМПАНИЯ «РОССИЯ» |Основные понятия, используемые в Федеральном законе
№152-ФЗ «О персональных данных»
Персональные данные, разрешенные субъектом персональных данных для распространения, персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом
персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ
«О персональных данных»;
Обработка персональных данных любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью
средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных
неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных
определенному лицу или определенному кругу лиц
Блокирование персональных данных - временное прекращение обработки персональных данных (за
исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным
восстановить содержание персональных данных в информационной системе персональных данных и (или)
в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных
персональных данных и обеспечивающих их обработку информационных технологий и технических
средств.
6. Основные нормативно правовые акты, регулирующие деятельность в области персональных данных:
АО «АВИАКОМПАНИЯ «РОССИЯ» |Основные нормативно правовые акты, регулирующие
деятельность в области персональных данных:
Конвенция о защите физических лиц при автоматизированной
персональных данных (Страсбург, 28 января 1981 г.)
обработке
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»
Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»
Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений
конфиденциального характера»
Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных»
Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении
положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации»
Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных»
Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации, необходимых для
выполнения установленных Правительством Российской Федерации требований к
защите персональных данных для каждого из уровней защищенности»
Приказ Роскомнадзора от 28.10.2022 № 179 «Требования к подтверждению
уничтожения персональных данных»
7.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Категории персональных данных
Общедоступные
В общедоступные
источники
с письменного согласия
субъекта персональных
данных могут
включаться
его фамилия, имя,
отчество, год и место
рождения, адрес,
абонентский номер,
сведения о профессии и
иные персональные
данные, сообщаемые
субъектом
персональных данных
Специальные
Биометрические
Иные
Специальные категории
включают
персональные данные,
касающиеся расовой,
национальной
принадлежности,
политических взглядов,
религиозных
или философских
убеждений,
состояния здоровья,
интимной жизни
Сведения, которые
характеризуют
физиологические
и биологические
особенности человека,
на основании которых
можно установить его
личность и которые
используются
оператором
для установления
личности субъекта
персональных данных
(отпечаток пальца,
рисунок вен руки,
рисунок радужной
оболочки глаза и др.)
Данные, которые
не относятся
к остальным категориям
персональных данных
(ФИО, паспортные
данные, ИНН, СНИЛС,
место жительства,
семейное положение,
банковские реквизиты и
др.)
8. Специальные категории персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Специальные категории персональных данных
Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, НЕ ДОПУСКАЕТСЯ, за
исключением следующих случаев:
субъект ПД дал согласие в письменной форме на обработку своих ПД;
обработка ПД осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
обработка ПД осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством,
пенсионным законодательством РФ;
обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД либо жизни, здоровья или иных
жизненно важных интересов других лиц и получение согласия субъекта ПД невозможно;
обработка ПД осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и
медико-социальных услуг при условии, что обработка ПД осуществляется лицом, профессионально занимающимся медицинской
деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
обработка ПД необходима для установления или осуществления прав субъекта
ПД или третьих лиц, а равно и в связи с осуществлением правосудия;
обработка ПД осуществляется в соответствии с законодательством Российской
Федерации об обороне, о безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об оперативноразыскной деятельности, об исполнительном производстве, уголовноисполнительным законодательством РФ;
обработка полученных в установленных законодательством РФ случаях
персональных данных осуществляется органами прокуратуры в связи с
осуществлением ими прокурорского надзора;
иных
случаях,
предусмотренных
ст.
10
Федерального
закона
№ 152-ФЗ «О персональных данных».
Обработка
персональных
данных
о
судимости
может
осуществляться государственными органами или муниципальными
органами в пределах полномочий, предоставленных им в
соответствии с законодательством Российской Федерации, а также
иными лицами в случаях и в порядке, которые определяются в
соответствии с федеральными законами.
9.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Биометрические категории персональных данных
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых
можно установить его личность (биометрические персональные данные) и которые используются оператором для
установления личности субъекта персональных данных, могут обрабатываться только при наличии СОГЛАСИЯ в
письменной форме субъекта персональных данных, за исключением случаев:
в связи с реализацией международных договоров РФ о реадмиссии;
в связи с осуществлением правосудия и исполнением судебных актов;
в связи с проведением обязательной государственной дактилоскопической
регистрации, обязательной государственной геномной Регистрации;
в случаях, предусмотренных законодательством Российской Федерации об
обороне, о безопасности, о противодействии терроризму, о транспортной
безопасности, о противодействии
коррупции, об оперативно-разыскной
деятельности, о государственной службе;
в случаях, предусмотренных уголовно-исполнительным законодательством;
законодательством РФ о порядке выезда из Российской Федерации и въезда в
Российскую Федерацию, о гражданстве РФ;
в случаях, предусмотренных законодательством РФ о нотариате.
Предоставление биометрических персональных данных НЕ МОЖЕТ БЫТЬ ОБЯЗАТЕЛЬНЫМ, за исключением
вышеуказанных случаев.
Оператор персональных данных не вправе отказывать в обслуживании в случае отказа субъекта персональных
данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных
данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных
данных не является обязательным.
10.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Виды персональных данных в зависимости
от источника их получения
Предоставленные данные
получены от субъектов
или их представителей,
например, заполнение
веб-форм на сайте,
предоставление резюме
Общедоступные данные
Взяты из общедоступных
или открытых
источников
Инициированные данные
Образованы путем
совершения действий
в отношении субъектов,
например, выплата
заработной платы
Принятые данные
Получены не от субъекта
персональных данных,
а от третьих лиц,
например, рекомендация
от бывшего
работодателя соискателя
Назначенные данные
Временно или постоянно
присвоены субъектам,
например, номер
социального страхования,
наименование должности
11.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Основные действующие лица
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно
или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными.
Оператор
персональных
данных
Определяет цели
обработки
персональных
данных
Определяет
состав
персональных
данных
Определяет состав действий по
обработке персональных данных
(собирает, обрабатывает сам или
поручает другим лицам;
обеспечивает хранение и др.)
Оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или
муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего
акта ( далее - поручение оператора).
Лицо, осуществляющее обработку ПД по поручению оператора (обработчик ПД), обязано соблюдать принципы и
правила обработки ПД, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных», соблюдать
конфиденциальность ПД, принимать необходимые меры, направленные на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
Оператор несет ответственность перед субъектом ПД за действия лица, осуществляющего обработку ПД по
поручению АКР. Лицо, осуществляющее обработку ПД по поручению, несет ответственность перед оператором.
12. Поручение обработки персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Поручение обработки персональных данных
В поручении оператора ПД должны быть определены
требования, предусмотренные ч. 3 ст. 6 Федерального
закона № 152-ФЗ «О персональных данных», а именно:
• перечень ПД;
• перечень действий (операций) с ПД, которые будут
совершаться
лицом,
осуществляющим
обработку
персональных данных;
• цели обработки ПД;
• требование по соблюдению конфиденциальности ПД;
• требования, предусмотренные ч.5 ст.18 и ст.18.1 ФЗ-152;
• обязанность по запросу оператора в течение срока
действия поручения оператора, в том числе до обработки
ПД, предоставлять документы и иную информацию,
подтверждающие принятие мер и соблюдение в целях
исполнения
поручения
оператора
требований,
установленных в соответствии со ст. 6 ФЗ-152;
• обязанность обеспечивать безопасность ПД при их
обработке, а также должны быть указаны требования к
защите обрабатываемых ПД в соответствии со ст. 19 ФЗ152;
• требование об уведомлении оператора персональных
данных в случае установления факта неправомерной или
случайной передачи (предоставления, распространения,
доступа) персональных данных, повлекшей нарушение
прав субъектов персональных данных (ч. 3.1 ст. 21 ФЗ152).
Поручение
обработки
особенностями:
обладает
следующими
• цель обработки ПД, перечень ПД, содержание (перечень
действий) обработки ПД, требования к защите ПД и иные
требования,
предусмотренные
ч.3
ст.6
ФЗ-152,
определяются поручением (волей) оператора. Оператор
фактически получает
возможность контролировать
некоторые действия лица, которому будет поручена
обработка ПД (например, оператор ПД может обязать
такое лицо производить блокирование, удаление,
уничтожение, уточнение или предоставление ПД по
соответствующему требованию оператора), и таким
образом определять содержание некоторых бизнеспроцессов данного лица;
• лицо, осуществляющее обработку ПД по поручению
оператора ПД, не обязано получать согласие субъекта на
обработку его ПД;
• ответственность перед субъектом ПД за действия лица,
которому поручена обработка ПД, несет оператор ПД, а
лицо, осуществляющее обработку ПД по поручению
оператора, в свою очередь, несет ответственность перед
оператором;
случае, если оператор поручает обработку ПД
иностранному
физическому/
юридическому
лицу,
ответственность перед субъектом ПД за действия
указанных лиц несет оператор и лицо, осуществляющее
обработку ПД по поручению оператора ПД;
• считается незаключенным, если в поручении
приведены условия согласно ч.3 ст.6 ФЗ-152.
не
13.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Принципы обработки персональных данных
Законность и
справедливость,
прозрачность
Есть правовое основание на такую обработку.
Субъекты информируются о том, что их персональные данные будут обрабатываться.
Информация ясная, краткая и простая для понимания, предоставляется в
доступной форме.
Ограниченность
целей обработки
Обработка персональных данных должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных.
Минимизация
объемов
обрабатываемых ПД
Обработка персональных данных осуществляется в объеме, необходимом для
достижения целей обработки персональных данных.
Точность,
достаточность и
актуальность данных
При обработке ПД должны быть обеспечены точность персональных данных, их
достаточность, а в необходимых случаях и актуальность по отношению к целям
обработки ПД. Оператор должен принимать необходимые меры либо обеспечивать
их принятие по удалению или уточнению неполных или неточных данных.
Ограничение сроков
хранения
Хранение ПД не дольше, чем это необходимо для целей обработки ПД.
Отсутствие
избыточности данных
Содержание и объем обрабатываемых ПД должны соответствовать заявленным
целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению
к заявленным целям их обработки.
Запрет объединения
баз данных
Не допускается объединение баз данных, содержащих ПД, обработка которых
осуществляется в целях, несовместимых между собой.
14.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Условия обработки персональных данных
Согласие
Обработка ПД осуществляется с согласия субъекта ПД на обработку его
персональных данных.
Договор
Обработка ПД необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект ПД, а также
для заключения договора по инициативе субъекта ПД или договора, по которому
субъект ПД будет являться выгодоприобретателем или поручителем.
Требования
законодательства
Обработка необходима для достижения целей, предусмотренных международным
договором РФ или законом, для осуществления и выполнения возложенных
законодательством РФ на Оператора функций, полномочий и обязанностей.
Жизненный
интерес
Обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных
интересов субъекта ПД, если получение согласия субъекта ПД невозможно.
Законный
интерес
Обработка необходима для осуществления прав и законных интересов Оператора
или третьих лиц.
Общественный
интерес
Обработка ПД необходима для выполнения задачи, осуществляемой в
общественных интересах или при осуществлении официальных полномочий,
возложенных на Оператора.
Опубликование
Осуществляется обработка ПД, подлежащих опубликованию или обязательному
раскрытию в соответствии с федеральным законом.
Профессиональная деятельность
Обработка ПД необходима для осуществления профессиональной деятельности
журналиста и (или) законной деятельности средства массовой информации либо
научной, литературной или иной творческой деятельности при условии, что при этом
не нарушаются права и законные интересы субъекта ПД.
15. Согласие на обработку персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Согласие на обработку персональных данных
1.
Субъект ПД принимает решение о согласии на обработку ПД о себе СВОБОДНО, СВОЕЙ ВОЛЕЙ И В СВОЕМ
ИНТЕРЕСЕ.
2.
Согласие на обработку ПД должно быть конкретным, информированным и сознательным.
3.
Согласие может быть дано лично либо через представителя.
4.
Согласие может быть выражено в любой форме, позволяющей подтвердить факт его получения, если только
законом не предусмотрена письменная форма.
5.
Согласие может быть в любое время отозвано субъектом ПД.
6.
Согласие в письменной форме субъекта ПД на обработку его ПД должно включать в себя, в частности:
ФИО, адрес субъекта ПД, номер основного документа,
удостоверяющего его личность, сведения о дате выдачи указанного
документа и выдавшем его органе;
ФИО, адрес представителя субъекта ПД, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе, реквизиты
доверенности или иного документа, подтверждающего полномочия
этого представителя (при получении согласия от представителя
субъекта ПД);
наименование или ФИО и адрес оператора, получающего согласие
субъекта ПД;
цель обработки ПД;
перечень ПД, на обработку которых дается согласие субъекта ПД;
наименование или ФИО и адрес лица, осуществляющего обработку
ПД по поручению оператора, если обработка будет поручена такому
лицу;
перечень действий с ПД, на совершение которых дается согласие,
общее описание используемых оператором способов обработки ПД;
срок, в течение которого действует согласие субъекта ПД, а также
способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта ПД.
16. Категории субъектов, персональные данные которых обрабатываются в АКР
АО «АВИАКОМПАНИЯ «РОССИЯ» |Категории субъектов, персональные данные которых
обрабатываются в АКР
Работники - работники АКР, с которыми заключены трудовые договоры;
Уволенные работники - работники АКР, с которыми были заключены и расторгнуты трудовые договоры;
Родственники работников - члены семьи работников АКР, обработка ПД которых предусмотрена федеральными законами,
локально-нормативными актами АКР, а также выполняется АКР как работодателем в соответствии с требованиями органов
государственного статистического учета;
Исполнители - физические лица, выполняющие работы или оказывающие услуги АКР в соответствии с заключенными с ними
гражданско-правовыми договорами;
Соискатели - соискатели вакантных должностей (профессий) АКР, представивших персональную информацию лично через
специализированную автоматизированную систему подбора персонала или специальную веб-форму на официальном сайте АКР
с предложением заключения трудового договора;
Пассажиры - физические лица, путешествующие на код-шеринговом рейсе;
Получатели по исполнительным листам - физические лица, в пользу которых производятся перечисления согласно данным
исполнительного листа;
Законные представители - представители субъектов ПД, не являющихся работниками АКР, обращающихся в АКР по поручению
и от имени субъектов ПД;
Представители контрагентов - представители контрагентов АКР, действующих на основании доверенности контрагентов, с
которыми у АКР существуют договорные отношения или данные которых контрагент передал в рамках исполнения договорных
обязательств;
Посетители - посетители служебных зданий, помещений и территорий АКР, которым необходимо оформление разового пропуска;
Выгодоприобретатели по договорам - физические лица, являющиеся стороной договора, заключенного с АКР либо
выгодоприобретателями или поручителями по такому договору (ученический договор с лицом, ищущим работу; индивидуальный
договор на оказание платных медицинских услуг);
Посетители сайта - физические лица, посетители официального сайта АКР (включая интернет-сервисы), принявшие Политику в
отношении файлов cookie, размещенных на сайте АКР;
Участники мероприятий - физические лица, которые приглашены на мероприятия, организованные АКР самостоятельно или
совместно с партнерами, а также физические лица, принявшие участие в конкурсах, акциях или играх;
Победители мероприятий - физические лица, которым может осуществляться выплата в виде натурального дохода (оплата
билетов, призов, подарков и т.п.) по которым требуется отчетность по НДФЛ;
Студенты - физические лица, направленные в АКР для прохождения производственной практики.
17. Права субъекта персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Права субъекта персональных данных
Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
1)
2)
3)
4)
5)
6)
7)
8)
9)
подтверждение факта обработки ПД оператором;
правовые основания и цели обработки ПД;
цели и применяемые оператором способы обработки ПД;
наименование и место нахождения оператора, сведения о
лицах (за исключением работников оператора), которые
имеют доступ к ПД или которым могут быть раскрыты ПД
на основании договора с оператором или на основании
федерального закона;
обрабатываемые ПД, относящиеся к соответствующему
субъекту ПД, источник их получения, если иной порядок
представления
таких
данных
не
предусмотрен
федеральным законом;
сроки обработки ПД, в том числе сроки их хранения;
порядок
осуществления
субъектом
ПД
прав,
предусмотренных Федеральным законом № 152-ФЗ «О
персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению
оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Федерального закона
№ 152-ФЗ «О персональных данных»;
11) иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими
федеральными законами.
18. Права субъекта персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Права субъекта персональных данных
Право субъекта ПД
Описание права субъекта ПД
Право
на
уточнение
персональных данных
Субъект ПД вправе требовать от оператора уточнения его ПД, их блокирования или
уничтожения в случае, если ПД являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленной цели
обработки, а также принимать предусмотренные законом меры по защите своих прав
Право на отзыв согласия на
обработку
персональных
данных
Субъект ПД вправе требовать от оператора отозвать свое согласие в любое время,
не затрагивая правомерность обработки, выполненную до такого отзыва согласия, если
он ранее дал согласие на обработку его ПД для одной или нескольких конкретных целей
Право
на
обработки
данных
прекращение
персональных
Субъект ПД имеет право требовать от оператора прекращения обработки ПД,
которая осуществлялась в целях продвижения товаров, работ, услуг на рынке путем
осуществления прямых контактов с потенциальными потребителями с помощью средств
связи, а также в целях политической агитации.
Право обжаловать действия
или бездействие оператора
Субъект ПД вправе обжаловать действия или бездействие оператора в
уполномоченный орган по защите прав субъектов ПД или в судебном порядке, в случае
если субъект ПД считает, что оператор осуществляет обработку его ПД с нарушением
требований Федерального закона № 152-ФЗ «О персональных данных» или иным
образом нарушает его права и свободы.
Право заявить возражение
против
любого
затрагивающего его решения
Субъект ПД вправе заявить возражение
затрагивающего
его
решения,
принятого
автоматизированной обработки.
Право на защиту своих прав
Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
против любого существенно
на
основании
исключительно
19. Основания ограничения прав субъектов персональных данных по законодательству РФ
АО «АВИАКОМПАНИЯ «РОССИЯ» |Основания ограничения прав субъектов персональных
данных по законодательству РФ
Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии
с федеральными законами, в том числе если:
1
доступ субъекта ПД к его персональным данным нарушает права и законные
интересы третьих лиц
2
обработка
ПД
осуществляется
в
случаях,
предусмотренных
законодательством РФ о транспортной безопасности, в целях обеспечения
устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного
комплекса от актов незаконного вмешательства
3
обработка персональных данных, включая персональные данные,
полученные в результате оперативно-разыскной, контрразведывательной и
разведывательной деятельности, осуществляется в целях обороны страны,
безопасности государства и охраны правопорядка
4
обработка ПД осуществляется органами, осуществившими задержание
субъекта ПД по подозрению в совершении
преступления, либо
предъявившими субъекту ПД обвинение по уголовному делу
5
обработка ПД осуществляется в соответствии с законодательством о
противодействии
легализации
(отмыванию)
доходов,
полученных
преступным путем и финансированию терроризма
20. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
АО «АВИАКОМПАНИЯ «РОССИЯ» |Особенности обработки персональных данных, разрешенных
субъектом персональных данных для распространения
•В
случае
распространения
персональных
данных
субъектов
ПД
неопределенному кругу лиц посредством информационных ресурсов,
принадлежащих АКР (размещение персональных данных субъектов ПД на
официальном сайте или интернет-сервисах Общества в сети Интернет), с
субъекта ПД необходимо получить Согласие на обработку персональных
данных, разрешенных субъектом ПД для распространения (приложение
№ 6 И-ГД-456).
• Согласие на обработку персональных данных, разрешенных субъектом ПД для
распространения, Оператор ПД собирает отдельно от иных согласий субъекта
ПД на обработку его персональных данных.
• Согласие на обработку персональных данных, разрешенных субъектом ПД для
распространения, не требуется, если обязанность по обработке, в том числе
опубликованию и размещению ПД работников в сети Интернет, предусмотрена
законодательством Российской Федерации (например, размещение ПД о
работниках сферы здравоохранения и образования).
• Оператор ПД обязан обеспечить субъекту ПД возможность определить перечень
персональных данных по каждой категории ПД, указанной в согласии на
обработку ПД, разрешенных субъектом ПД для распространения. Молчание или
бездействие субъекта ПД ни при каких обстоятельствах не может считаться
согласием на обработку персональных данных, разрешенных субъектом ПД для
распространения.
• В согласии на обработку персональных данных, разрешенных субъектом ПДн
для распространения, субъект ПДн вправе установить запреты на передачу
(кроме предоставления доступа) этих персональных данных Обществом
неограниченному кругу лиц, а также запреты на обработку или условия
обработки
(кроме
получения
доступа)
этих
персональных
данных
неограниченным кругом лиц.
21. Блокирование персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Блокирование персональных данных
Оператор осуществляет блокирование ПД субъекта ПД (или обеспечивает их блокирование в случае если
обработка ПД осуществляется другим лицом, действующим по поручению оператора) в следующих
случаях:
• выявление неправомерной обработки ПД;
• выявления неточных персональных данных субъекта ПД;
• отсутствие возможности уничтожения ПД в течение установленных сроков.
Решение о блокировании ПД в случае отсутствия возможности уничтожения ПД в течении установленных сроков
при достижении цели обработки ПД или выявлении неправомерной обработки ПД принимает руководитель
структурного подразделения, в чью сферу ответственности входит обработка ПД.
Процедура блокирования ПД должна быть согласована c владельцем информационной системы, в которой
обрабатываются ПД, и ответственным за организацию обработки персональных данных.
В случае если в информационной системе персональных данных
есть функционал, позволяющий выполнить блокирование ПД
владелец информационной системы, в которой обрабатываются ПД,
осуществляет
блокирование
внутренними
средствами
информационной системы персональных данных и сообщает о
проведенных работах Ответственному за организацию обработки ПД.
Если указанный функционал отсутствует (либо осуществляется
неавтоматизированная обработка ПД) руководитель структурного
подразделения АКР, в чью сферу ответственности входит обработка
ПД, оповещает причастных работников своих структурных
подразделений о необходимости блокирования ПД (временном
прекращении обработки ПД в части запрета на передачу ПД в
сторонние организации) соответствующих субъектов ПД.
Руководитель структурного подразделения организует уничтожение ПД в срок не более чем шесть месяцев, если
иной срок не установлен федеральным законодательством.
22. Уничтожение персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Уничтожение персональных данных
Оператор обязан уничтожить персональные данные субъекта ПД (или обеспечить их уничтожение в случае если
обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), если иное
не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД,
иным соглашением между Оператором и субъектом ПД либо если Оператор не вправе осуществлять обработку ПД без
согласия субъекта ПД в следующих случаях:
при представлении субъектом ПД (или его представителем) сведений, подтверждающих, что ПД являются незаконно
полученными или не являются необходимыми для заявленной цели обработки - в течение 7 (семи) рабочих дней со дня
представления таких сведений;
при выявлении неправомерной обработки ПД, если невозможно обеспечить ее правомерность, - в течение 10 (десяти)
рабочих дней с даты выявления неправомерной обработки ПД;
при достижении цели обработки ПД - в течение 30 (тридцати) дней с даты достижения цели обработки ПД;
при отзыве субъектом ПД согласия на обработку его ПД, если их сохранение более не требуется для целей обработки
ПД, - в течение 30 (тридцати) дней с даты поступления указанного отзыва;
при истечении сроков хранения ПД, установленных нормативно-правовыми актами Российской Федерации.
Документами, подтверждающими уничтожение персональных данных субъектов ПД с материальных (бумажных) носителей
(обработка ПД осуществляется без использования средств автоматизации), является Акт об уничтожении ПД (Приложение
№8 И-ГД-456).
Документами, подтверждающими уничтожение персональных данных субъектов ПД из информационной системы, в которой
обрабатываются ПД (обработка ПД осуществляется с использованием средств автоматизации), являются Акт об
уничтожении ПД и Выгрузка из журнала регистрации событий в ИСПДн.
Выгрузка из журнала регистрации событий в ИСПДн содержит: 1) фамилию, имя, отчество субъектов ПД или иную
информацию, относящуюся к определенным физическим лицам, чьи ПД были уничтожены; 2) перечень категорий
уничтоженных персональных данных субъектов ПД; 3) наименование информационной системы персональных данных, из
которой были уничтожены персональные данные субъектов ПД; 4) причину уничтожения ПД; 5) дату уничтожения
персональных данных субъектов ПД.
Порядок уничтожения персональных данных описан в Положении об обработке и обеспечении безопасности персональных
данных в АО «Авиакомпания «Россия» (И-ГД-456).
23. Передача персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Передача персональных данных
Передача (предоставление, доступ) персональных данных субъектов ПД третьей стороне может быть выполнена при
выполнении следующих условий:
передача документов, содержащих ПД, сторонним организациям (контрагентам) осуществляется после подписания
договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПД и
обеспечения безопасности ПД при их обработке (либо после подписания между сторонами соглашения о неразглашении
конфиденциальной информации);
передача (предоставление, доступ) ПД третьей стороне осуществляется на основании действующего законодательства РФ;
наличие согласия субъекта ПД на передачу его ПД третьей стороне, за исключением случаев, предусмотренных
законодательством РФ.
При передаче ПД работников должны быть соблюдены следующие
требования:
1)
не сообщать ПД работника третьей стороне без письменного согласия на
обработку ПД, если иное не предусмотрено законодательством РФ;
2)
не сообщать ПД работника в коммерческих целях без его письменного согласия;
3)
передавать ПД работника представителям работников в порядке,
установленном трудовым кодексом и иными федеральными законами, и
ограничивать эту информацию только теми ПД работника, которые необходимы
для выполнения указанными представителями их функций;
4)
предупреждать лиц, получающих ПД работника, о том, что эти данные могут
быть использованы лишь в целях, для которых они сообщены, и требовать от
этих лиц подтверждения того, что это правило соблюдено.
Передача (обмен) персональных данных между структурными подразделениями АКР должна осуществляться только
между работниками, имеющими доступ к персональным данным субъектов ПД.
Передача электронных документов, содержащих ПД, посредством корпоративной электронной почты допускается
только в случае передачи на почтовые адреса домена rossiya-airlines.com.
Передача электронных документов, содержащих ПД, по незащищенным каналам связи должна осуществляться в
зашифрованном виде с использованием средств криптографической защиты информации, согласованных со
работником группы информационной безопасности ОЭБ.
24. Трансграничная передача персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Трансграничная передача персональных данных
1.
Трансграничная передача персональных данных - передача персональных данных на территорию
иностранного государства органу власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
2.
Трансграничная передача ПД осуществляется в соответствии с Федеральным законом N 152-ФЗ «О персональных
данных» и международными договорами Российской Федерации.
3.
Роскомнадзором утвержден перечень иностранных государств, обеспечивающих адекватную защиту прав
субъектов персональных данных: стороны Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке и не являющиеся сторонами Конвенции, но на их территории действуют нормы права
и применяются меры по обеспечению безопасности персональных данных при их обработке.
Перечень утвержден Приказом Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных
государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
Стороной Конвенции являются:
Австрийская Республика, Аргентинская Республика, Босния и Герцеговина, Буркина-Фасо, Великое Герцогство Люксембург,
Венгрия, Восточная Республика Уругвай, Греческая Республика, Грузия, Ирландия, Итальянская Республика, Княжество Андорра,
Княжество Лихтенштейн, Княжество Монако, Королевство Бельгия, Королевство Дания, Королевство Испания, Королевство
Марокко, Королевство Нидерландов, Королевство Норвегия, Королевство Швеция, Латвийская Республика, Литовская
Республика, Мексиканские Соединенные Штаты, Португальская Республика, Республика Азербайджан, Республика Албания,
Республика Армения, Республика Болгария, Республика Исландия, Республика Кабо-Верде, Республика Кипр, Республика Маврикий,
Республика Мальта, Республика Молдова, Республика Польша, Республика Сан-Марино, Республика Северная Македония,
Республика Сенегал, Республика Сербия, Республика Словения, Республика Хорватия, Румыния, Словацкая Республика,
Соединенное Королевство Великобритании и Северной Ирландии, Тунисская Республика, Турецкая Республика, Украина,
Федеративная Республика Германия, Финляндская Республика, Французская Республика, Черногория, Чешская Республика,
Швейцарская Конфедерация, Эстонская Республика.
Не являются, но обеспечивают:
Австралия - Австралийский союз, Габонская Республика, Государство Израиль, Государство Катар, Канада, Киргизская
Республика, Китайская Народная Республика, Королевство Таиланд, Малайзия, Монголия, Народная Республика Бангладеш, Новая
Зеландия, Республика Ангола, Республика Беларусь, Республика Бенин, Республика Замбия, Республика Индия, Республика
Казахстан, Республика Коста-Рика, Республика Корея, Республика Кот-Д'Ивуар, Республика Мали, Республика Нигер, Республика
Перу, Республика Сингапур, Республика Таджикистан, Республика Узбекистан, Республика Чад, Социалистическая Республика
Вьетнам, Тоголезская Республика, Федеративная Республика Бразилия, Федеративная Республика Нигерия, Южно-Африканская
Республика, Япония.
25.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Обязанности оператора при осуществлении (намерении)
трансграничной передачи персональных данных
Оператор до начала осуществления деятельности по трансграничной передаче ПД обязан уведомить уполномоченный
орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять трансграничную
передачу ПД.
2. Руководитель структурного подразделения АКР, в котором планируется процесс передачи ПД субъектов ПД на
территорию иностранного государства обязан (п.5.5.7 И-ГД-456):
1) сообщить ответственному за организацию обработки ПД в АКР о своем намерении осуществлять передачу ПД на
территорию иностранного государства;
2) организовать получение от органов власти иностранного государства, иностранных физических/ юридических
лиц, которым планируется трансграничная передача ПД, следующей информации:
сведения о принимаемых мерах по защите передаваемых персональных данных субъектов ПД и об условиях
прекращения их обработки;
информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся
органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым
планируется трансграничная передача ПД (в случае, если предполагается осуществление трансграничной передачи ПД
на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных
данных);
сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических
лицах, которым планируется трансграничная передача ПД (наименование либо фамилию, имя и отчество, а также
номера контактных телефонов, почтовые адреса и адреса электронной почты).
Данное требование может быть реализовано путем направления иностранному физическому/ юридическому лицу Анкеты по
соблюдению требований по конфиденциальности и обеспечению безопасности ПД (приложение № 5 И-ГД-456).
3. По запросу Роскомнадзора оператор ПД в течение 10 рабочих дней с даты получения такого запроса обязан предоставить
сведения, указанные в п.2, с целью оценки достоверности предоставленных сведений по соблюдению органами власти
иностранных государств, иностранными физическими/ юридическими лицами, которым планируется трансграничная
передача ПД, конфиденциальности ПД и обеспечения безопасности ПД при их обработке.
4. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты
нравственности, здоровья, прав и законных интересов граждан принимается Роскомнадзором по результатам
рассмотрения поданного уведомления от оператора персональных данных.
1.
26. Обязанности оператора персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Обязанности оператора персональных данных
Назначение Ответственного за организацию обработки
персональных данных
Издание документов, определяющих Политику оператора в
отношении обработки персональных данных, локальных актов по
вопросам обработки ПД
Применение правовых, организационных и технических мер по
обеспечению безопасности персональных данных
Внутренний контроль/аудит соответствия обработки ПД ФЗ-152 и
принятым в соответствии с ним нормативным правовым актам
Ознакомление работников оператора, допущенных к обработке ПД, с
положениями законодательства РФ о ПД, требованиями к защите ПД
Проведение оценки вреда, который может быть причинен субъектам
персональных данных в случае нарушения ФЗ-152
27. Требования к оценке вреда
АО «АВИАКОМПАНИЯ «РОССИЯ» |Требования к оценке вреда
Приказом Роскомнадзора №178 от 27.10.2022 утверждены «Требования к оценке вреда, который может быть причинен субъектам
персональных данных в случае нарушения Федерального закона «О персональных данных»
Оператор персональных данных определяет 3 степени вреда субъекту персональных данных:
Высокая в случаях:
1) обработка биометрических персональных данных (за исключением случаев, установленных федеральными законами);
2) обработка специальных категорий персональных данных (за исключением случаев, установленных федеральными
законами);
3) обработка персональных данных несовершеннолетних для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является несовершеннолетний;
4) обезличивания персональных данных;
5) поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ;
6) сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
Средняя в случаях:
1) распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети «Интернет» ;
2) обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
3) продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем;
4) получения согласия на обработку ПД посредством реализации на официальном сайте в информационнотелекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или)
аутентификацию субъекта ПД;
5) осуществления деятельности по обработке ПД, предполагающей получение согласия на обработку ПД, содержащего
положения о предоставлении права осуществлять обработку ПД определенному и (или) неопределенному кругу лиц в целях,
несовместимых между собой.
Низкая в случаях:
1)
2)
ведения общедоступных источников ПД, сформированных в соответствии со ст.8 ФЗ-152;
назначения в качестве Ответственного за обработку персональных данных лица,
не являющегося штатным сотрудником оператора.
28. Обязанности оператора по отношению к субъекту персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Обязанности оператора персональных данных
Обязанности оператора по отношению к субъекту
персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено федеральным законом
При сборе ПД оператор обязан сообщить субъекту ПД информацию о наличии ПД, относящихся к
соответствующему субъекту ПД, а также предоставить возможность ознакомления с этими ПД при обращении
субъекта ПД
Разъяснить субъекту ПД порядок принятия решения на основании исключительно автоматизированной обработки
его ПД и возможные юридические последствия такого решения, предоставить возможность заявить возражение
против такого решения, а также разъяснить порядок защиты субъектом ПД своих прав и законных интересов
Немедленно прекратить по требованию субъекта ПД обработку его ПД, производимую в целях продвижения
товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью
средств связи, а также в целях политической агитации
В случае выявления неточных ПД субъекта ПД, а также при выявления неправомерной обработки ПД при
обращении субъекта ПД оператор обязан осуществить блокирование ПД, относящихся к этому субъекту ПД, или
обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению
оператора) с момента такого обращения на период проверки
В случае предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются
неполными, неточными или неактуальными, внести в них необходимые изменения
В случае предоставления субъектом ПД или его представителем сведений, подтверждающих, что такие ПД
являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор
обязан уничтожить такие ПД
В случае отзыва субъектом ПД согласия на обработку его ПД оператор обязан прекратить их обработку или
обеспечить прекращение такой обработки (если обработка ПД осуществляется другим лицом, действующим по
поручению оператора) и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД
или обеспечить их уничтожение
29. Обязанности оператора в отношении обеспечения безопасности персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Обязанности оператора в отношении обеспечения
безопасности персональных данных
Оператор при обработке ПД обязан принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении
персональных данных. К таким мерам относятся:
• Определение угроз безопасности персональных
информационных системах персональных данных;
данных
при
их
обработке
в
• Выполнение требований к защите ПД, обеспечивающих установленные Правительством
РФ уровни защищенности ПД;
• Применение прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
• Восстановление персональных данных, модифицированных
вследствие несанкционированного доступа к ним;
или
уничтоженных
• Учет машинных носителей персональных данных;
• Обнаружение фактов несанкционированного доступа к персональным данным и
принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации
последствий компьютерных атак на информационные системы персональных данных и по
реагированию на компьютерные инциденты в них;
• Установление правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечение регистрации и
учета всех действий, совершаемых с персональными данными в информационной
системе персональных данных;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
30. Уровни защищенности персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Уровни защищенности персональных данных
Правительство РФ с учетом возможного вреда субъекту ПД , объема и содержания обрабатываемых ПД, актуальности угроз
безопасности ПД устанавливает:
Уровни защищенности ПД при их обработке в информационных системах персональных данных в зависимости от
угроз безопасности этих данных (четыре уровня защищенности);
Требования к защите ПД при их обработке в информационных системах персональных данных, исполнение
которых обеспечивает установленные уровни защищенности персональных данных.
Определение уровней защищенности ПД, обрабатываемых в информационной системе персональных данных, проводится на
этапе их создания или в ходе их эксплуатации с целью установления организационных и технических мер по обеспечению
безопасности ПД при их обработке в информационных системах персональных данных.
Определение уровня защищенности персональных данных зависит от категории персональных данных, количества субъектов
персональных данных, типа актуальных угроз для информационной системы персональных данных.
В АКР установлен третий и четвертый уровень защищенности ПД при их обработке в информационных системах
персональных данных, для которых не требуется обеспечение целостности и доступности персональных данных.
Категория П
Биометрические
категории ПД
Специальные
категории ПД
Иные категории ПД
Общедоступные ПД
Тип актуальных угроз
Количество
субъектов ПД
Угрозы 1-го типа
Угрозы 2-го типа
Угрозы 3-го типа
(НДВ в системном ПО)
(НДВ в прикладном ПО)
(НДВ не актуальны)
Любое
УЗ 1
УЗ 2
УЗ 3
> 100 000
УЗ 1
УЗ 1
УЗ 2
< 100 000 (или
работники АКР)
УЗ 1
УЗ 2
УЗ 3
> 100 000
УЗ 1
УЗ 2
УЗ 3
< 100 000 (или
работники АКР)
УЗ 1
УЗ 3
УЗ 4
> 100 000
УЗ 2
УЗ 2
УЗ 4
< 100 000 (или
работники АКР)
УЗ 2
УЗ 3
УЗ 4
31. Требования к защите персональных данных при их обработке в информационных системах персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Требования к защите персональных данных при их обработке в
информационных системах персональных данных
Для обеспечения 3-го и 4-го уровня защищенности персональных данных при их обработке в
информационных системах необходимо выполнение следующих требований:
Организация режима обеспечения безопасности помещений, в которых размещена
информационная
система,
препятствующего
возможности
неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти
помещения
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе,
необходим для выполнения ими служебных (трудовых) обязанностей
Использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения
безопасности информации, в случае, когда применение таких средств необходимо для
нейтрализации актуальных угроз
Назначение должностного лица (работника), ответственного за обеспечение безопасности
персональных данных в информационной системе
Обеспечение сохранности носителей персональных данных
32.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Система защиты персональных данных Оператора включает:
Организационные меры
Технические меры
Приказы, инструкции,
Политики…
Идентификация аутентификация
Модель угроз, акты, журналы…
Управление доступом
Ограничение программной
среды
Защита машинных носителей
информации
Регистрация событий
безопасности
Антивирусная защита
Обнаружение (предотвращение)
вторжений
Контроль (анализ)
защищенности
Управление конфигурацией информационной
системы и средств защиты информации
Обеспечение целостности
Защита среды виртуализации
Выявление инцидентов
и реагирование на них
Защита технических средств
Обеспечение доступности
33. Требования по неавтоматизированной обработке персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Требования по неавтоматизированной обработке
персональных данных
При фиксации ПД на материальных носителях не допускается фиксация на
одном материальном носителе ПД, цели обработки которых заведомо не
совместимы. Для обработки различных категорий ПД, осуществляемой без
использования средств автоматизации, для каждой категории ПД должен
использоваться отдельный материальный носитель.
При несовместимости целей неавтоматизированной обработки ПД,
зафиксированных на одном материальном носителе, если материальный
носитель не позволяет осуществлять обработку ПД отдельно от других
зафиксированных на том же носителе ПД, должны быть приняты меры по
обеспечению раздельной обработки ПД (И-ГД-456).
Уничтожение части ПД, если это допускается материальным носителем,
может производиться способом, исключающим дальнейшую обработку этих ПД
с сохранением возможности обработки иных данных, зафиксированных на
материальном носителе (удаление, вымарывание).
Меры по обеспечению безопасности ПД при их обработке, осуществляемой без использования
средств автоматизации:
1) Обработка ПД, осуществляемая без использования средств автоматизации, должна осуществляться
таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения
материальных носителей
персональных данных и установить перечень лиц, осуществляющих
обработку персональных данных либо имеющих к ним доступ.
2) Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей),
обработка которых осуществляется в различных целях.
3) При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность
персональных данных и исключающие несанкционированный к ним доступ.
34. Обязанности должностных лиц, допущенных к обработке персональных данных
АО «АВИАКОМПАНИЯ «РОССИЯ» |Обязанности должностных лиц, допущенных к обработке
персональных данных
Знать и выполнять требования законодательства
РФ в части обеспечения безопасности ПД, а также
внутренних нормативных документов оператора,
регламентирующих вопросы обработки и обеспечения
безопасности ПД
Соблюдать
КОНФИДЕНЦИАЛЬНОСТЬ
персональных данных субъектов ПД, ставших ему
известными
в
связи
с
выполнением
своих
должностных
обязанностей (за исключением
общедоступных ПД)
Соблюдать правила обращения с документами,
содержащими персональные данные, порядок их
получения, обработки и хранения
Покидая рабочее место, помещать материальные
носители (документы) в сейфы/запираемые шкафы
Информировать
своего
непосредственного
руководителя
и
руководителя
структурного
подразделения о фактах нарушения порядка
обращения
с
ПД,
о
попытках
несанкционированного доступа к ним
Принимать меры по недопущению негативного
воздействия на технические средства обработки
ПД,
в
результате
которого
нарушается
их
функционирование
При
работе
с
носителями
информации,
относящейся к персональным данным субъектов ПД,
немедленно сообщать своему непосредственному
руководителю об их утрате, порче, недостаче или
несанкционированном доступе к ним других лиц
В случае выявления фата неправомерной или
случайной
передачи
(предоставления,
распространения, доступа) ПД незамедлительно
информировать по электронной почте (или) по
телефону своего непосредственного руководителя и
руководителя структурного подразделения
Не осуществлять передачу ПД по не защищенным
каналам связи и/или через общедоступные
сервисы
без
использования
средств
криптографической
защиты
информации,
согласованных со специалистом по информационной
безопасности
Блокировать или выключать компьютер при
перерывах в работе с информацией, относящейся к
персональным данным субъектов персональных
данных
При увольнении сдать все имеющиеся в его
распоряжении носители информации, содержащие
ПД, руководителю структурного подразделения
(заместителю руководителя)
35.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Меры обеспечения безопасности своих персональных
данных
Использовать
двухфакторную
аутентификацию
Читать Клиентское
соглашение (соглашение о
конфиденциальности)
Делать резервные
копии данных
Обновлять программное
обеспечение и приложения
Настроить параметры
конфиденциальности в
социальных сетях
Использовать антивирусные
средства защиты
Использовать защищенное
соединение - https://
Использовать пароли для
защиты файлов с личной
информацией
Избегать общедоступных
неизвестных сетей Wi-Fi
Менять пароли не реже
одного раза в три месяца
Использовать
сложные пароли,
состоящие из букв,
цифр, символов
различного
характера
Не открывать письма и
ссылки от незнакомых
людей
36.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Средства защиты информации, используемые
оператором персональных данных
Межсетевые экраны
Средства контроля (анализа)
защищенности
Антивирусные средства
защиты
Средства защиты от
несанкционированного доступа
37.
АО «АВИАКОМПАНИЯ «РОССИЯ» |Контролирующие органы
• Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор);
• Федеральная служба по техническому и экспортному контролю (ФСТЭК);
• Федеральная служба безопасности (ФСБ).
Чем грозит нарушение Федерального закона № 152-ФЗ?
• дисциплинарная ответственность, в том числе,
в виде увольнения (пп. «в» п.6 ч.1 ст.81, ст.90,
ст.192 ТК РФ);
• административная ответственность
(ст.13.11, ст.13.14 КоАП РФ);
• уголовная ответственность за нарушение
законодательства
в
области
защиты
персональных данных (ст. 137 УК РФ).