Персональные данные
В каком государстве право на частную жизнь впервые было рассмотрено как юридическая категория: |
- США. |
Всеобщая декларация прав человека была утверждена на Генеральной Ассамблее ООН: |
- в 1948 году; |
Правовым стандартом, обязательным для применения в национальных законодательствах стран-членов Европейского Союза в области защиты персональных данных, является: По своему статусу Директива Европейского парламента и Совета Европейского союза № 95/46/ЕС является: |
- Директива Европейского парламента и Совета Европейского союза № 95/46/ЕС. |
Первый в мире специальный закон о персональных данных был принят: |
- в 1970 году; |
В каком из государств в настоящее время отсутствует общее (федеральное) законодательство о персональных данных: |
- США; |
К принципам обработки, исходя из характеристик требований, предъявляемых к персональным данным, относятся: |
- принцип определенности целей сбора, обработки и использования персональных данных; |
Принцип корректности сбора и обработки персональных данных предполагает: |
- субъект персональных данных полностью осведомлен о том, на что он дает свое согласие. |
В соответствии с принципом определенности целей сбора персональных данных: |
- бесцельной обработки персональных данных не может быть; |
Персональные данные, исходя из принципа пропорциональности, должны быть: |
- адекватными; |
После достижения цели обработки персональных данных они должны быть: |
- уничтожены; |
Обработка персональных данных осуществляется оператором: |
- с согласия субъекта персональных данных, если иное прямо не предусмотрено законом; |
Согласие субъекта персональных данных на их обработку не требуется: |
- если обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных; |
Право личного участия субъекта в работе с его персональными данными обеспечивается возможностью: |
- прибегнуть к судебной защите нарушенного права, если запрос либо требование субъекта персональных данных не были удовлетворены; |
Согласие субъекта на обработку особых (специальных) категорий персональных данных должно быть: |
- явным |
Возможность свободного неограниченного доступа к особым персональным данным возникает вследствие: |
- самостоятельного размещения субъектом таких данных в общедоступном источнике; |
По запросу субъекта оператор обязан производить следующие действия с персональными данными: |
- уточнение; |
В случае возможности принятия оператором решения, основанного исключительно на результатах автоматизированной обработки персональных данных, их субъект имеет право на: |
- знание логики, заложенной в соответствующий математический механизм; |
Является ли объединение компаний в холдинг основанием для создания единой базы персональных данных их работников: |
- нет |
Соответствует ли принципу пропорциональности обработки персональных данных использование работодателем электронной системы контроля рабочего времени работников, фиксирующей время их ухода и прихода в служебные помещения: |
- нет |
Слежение работодателя за действиями работников преследует цели: |
- обеспечение порядка на предприятии; |
Подпадают ли, по мнению британского правосудия (процесс Халфорд против Великобритании), телефонные переговоры работника с использованием служебного телефона под понятие «частной жизни»: |
- да |
Принцип прозрачности в рамках слежения работодателя за действиями работников предполагает необходимость поставить их в известность о: |
- наличии оборудования, предназначенного для контроля за действиями работника, целях такого контроля (слежения) и использовании полученных в результате данных; |
В соответствии с Директивой № 95/46/ЕС субъект персональных данных имеет право: |
- обращаться в национальный уполномоченный орган по персональным данным за защитой; |
Кто дает согласие на обработку персональных данных человека в случае его смерти ? |
- Наследники |
Возможно ли объединение баз персональных данных, имеющих несовместимые цели ? |
- Нет |
Какие условия необходимо соблюдать при обработке конфиденциальных сведений, гарантирующих защиту прав и законных интересов граждан, в статистических и научных целях ? |
- обеспечение соответствующего режима хранения и защиты, полученных оператором в процессе деятельности персональных данных |
Необходимо ли согласие субъекта персональных данных необходимо при формировании общедоступных источников персональных данных ? |
- Да |
Какие категории персональных данных без согласия работника работодатель не имеет право обрабатывать ? |
- информация о политических, религиозных и иных убеждениях |
Возможно ли использование персональных данных работника в коммерческих целях ? |
- нет |
Какие виды ответственности применяются в области информационных правоотношений: |
- административная, гражданско-правовая, уголовная, дисциплинарная. |
Сколько дисциплинарных взысканий может применяться к работнику за совершение дисциплинарного проступка ? |
- 1 |
Что входит в понятие «обработка персональных данных» ? |
- все вышеперечисленное |
В каких случаях допускается обработка персональных данных без согласия субъекта ? |
- при реализации услуг связи |
Необходимо ли получение согласия субъекта на обработку персональных данных при наличии договорных отношений между оператором и субъектом ? |
- Нет |
Какого рода информацию субъект персональных данных может в любое время суток и бесплатно получать от оператора ? |
- способы обработки персональных данных |
Необходимо ли согласие субъекта на обработку его персональных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации ? |
- Да |
Где регистрируются запросы на получение персональных данных в информационных системах ? |
- в электронном журнале обращений |
На кого возложена сохранность персональных данных работников в ОАО «РЖД» ? |
- службы управления персоналом |
Каким распоряжением утверждена Инструкция по кадровому делопроизводству в ОАО «РЖД» ? |
- №1335 от 30.06.2006г. |
Какой орган(ы) наделен(ы) полномочиями в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных средств в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах ? |
- федеральная служба безопасности |
Сколько дней отводится оператору на устранение нарушений обработки персональных данных ? |
- 3 |
Какая процедура проводится после выявления недостоверности персональных данных в ходе их обработки или по запросу субъекта ? |
- уточнение |
Что такое модель угроз? |
- модель угроз - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности ПДн и уязвимостей при их обработке в ИС ПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн; |
Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн? |
- сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров; |
Чем отличаются классы защищённости ИС ПДн К1 и К2? |
- отличие К1 от К2 состоит в более высоком уровне защиты; |
Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2? |
- так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме, то и её стоимость будет выше. Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз; |
Шаги оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»? |
- провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн; |
Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников? |
- правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу; |
Как правильно передавать ПДн 3-ей стороне из компании, какие документы должны регламентировать этот порядок? |
- оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке; |
Каков должен быть уровень внедрения защиты ПДн, к примеру на рабочие станции - средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИС ПДн)? |
- уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн; |
Какая организация назначена Уполномоченным органом по защите прав субъектов персональных данных? |
- в настоящее время Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор); |
Обязательно ли использовать в ИСПДн общесистемное ПО, сертифицированное по требованиям ФСТЭК России? |
- в том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России; |
Организация располагает удаленными филиалами, между которыми постоянно осуществляется обмен данными, в т.ч. персональными. Закон о персональных данных, обязывает шифровать такую информацию, но можно ли обойтись без установки СКЗИ и при этом не нарушить закон? |
- в случае использования оператором защищённых каналов связи (например, выделенных оптоволоконных линий связи, передачи данных на съёмном носителе информации при помощи курьера или использования других оргмер) оператору нет необходимости использовать криптосредства для защиты передаваемых персональных данных; |
Необходимо ли наличие лицензии, если оператор ПДн самостоятельно проводит работы по установке СКЗИ? |
- если оператор ПДн приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России; |
Какие документы по защите ПДн и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)? |
- согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается; |
Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов? |
- Никакой разницы для ИСПДн классов К1, К2, К3 нет; |
В соответствии со статьей 22 пункт 2 оператор ПДн не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам? |
- надзорный орган на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора ПДн независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет; |
Что это за лицензия по ПДн, которую выдает Россвязьнадзор и когда её надо получать? |
- получение лицензий на право обработки ПДн ФЗ «О персональных данных» не предусматривает; |
Какие необходимо принять меры предотвращения и обнаружения внедрения вредоносного программного обеспечения в ИСПДн? |
- проводить проверку любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования; |