Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Закон Донецкой Народной Республики от 19 июня 2015 г. N 61-IНС "О персональных данных" (с изменениями и дополнениями)
- Глава 4. Обязанности оператора (ст. 18 - 24)
- Статья 20. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Донецкой Народной Республики уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Донецкой Народной Республики с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных утверждает:
(в ред. Закона ДНР от 04.06.2021 N 289-IIНС)
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
4) письменную форму согласия субъекта персональных данных на обработку биометрических персональных данных, которые используются оператором для установления личности субъекта персональных данных.
(в ред. Закона ДНР от 04.06.2021 N 289-IIНС)
4. Состав и содержание необходимых для выполнения установленных Правительством Донецкой Народной Республики в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются республиканским органом исполнительной власти, реализующим государственную политику в сфере государственной безопасности, в пределах их полномочий.
5. Республиканские органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, Центральный Республиканский Банк Донецкой Народной Республики, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
(в ред. Закона ДНР от 04.06.2021 N 289-IIНС)
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с республиканским органом исполнительной власти, реализующим государственную политику в сфере государственной безопасности. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с республиканским органом исполнительной власти, реализующим государственную политику в сфере государственной безопасности, в порядке, утверждаемом Правительством Донецкой Народной Республики. Решение республиканского органа исполнительной власти, реализующего государственную политику в сфере государственной безопасности, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
(в ред. Закона ДНР от 04.06.2021 N 289-IIНС)
8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются республиканским органом исполнительной власти, реализующим государственную политику в сфере государственной безопасности, обрабатываемыми в информационных системах персональных данных.
9. Республиканский орган исполнительной власти, реализующий государственную политику в сфере государственной безопасности, постановлением Правительства Донецкой Народной Республики с учетом значимости и содержания обрабатываемых персональных данных может быть наделен полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
(в ред. Закона ДНР от 04.06.2021 N 289-IIНС)
10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.