Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

О персональных данных

Федеральный Закон № 152 от 27.07.2006

Статья 21. Пункт 3.

Для проведения оценки соответствия по документу войдите в систему.
3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
  1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
  2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Похожие требования

Общий регламент защиты персональных данных (GDPR):
Глава III Раздел 3 Статья 17 Пункт 1
1. Субъект данных имеет право получить от контролера удаление касающихся его персональных данных без неоправданной задержки, и контролер обязан удалить персональные данные без неоправданной задержки, если применяется одно из следующих оснований:
  • (а) персональные данные больше не являются необходимыми в связи с целями, для которых они были собраны или иным образом обработаны;
  • (б) субъект данных отзывает согласие, на котором основана обработка в соответствии с пунктом (а) статьи 6(1) или пунктом (а) статьи 9(2), и если нет других законных оснований для обработки;
  • (c) субъект данных возражает против обработки в соответствии со статьей 21(1) и нет никаких преобладающих законных оснований для обработки, или субъект данных возражает против обработки в соответствии со статьей 21(2);
  • (d) персональные данные были незаконно обработаны;
  • (e) персональные данные должны быть удалены в соответствии с юридическим обязательством в законодательстве Союза или государства-члена, которому подчиняется контролер;
  • (f) персональные данные были собраны в связи с предложением услуг информационного общества, упомянутых в статье 8(1).