Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Федеральный Закон № 152 от 27.07.2006

О персональных данных

Статья 21. Пункт 4.

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 10 п.п. 4 п.п.п. 2
7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:
  • по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;
  • выявления неправомерной обработки ПДн без согласия субъекта ПДн.
Р. 7 п. 10 п.п. 4 п.п.п. 1
7.10.4.1. Для каждого ресурса ПДн должно быть обеспечено:
  • установление цели обработки ПДн;
  • установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
  • определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);
  • выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками организации БС РФ;
  • выполнение ограничения обработки ПДн достижением цели обработки ПДн;
  • соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
  • точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
  • выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом "О персональных данных", в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
Постановление Правительства РФ № 687 от 15.09.2008 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации":
п.10
10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Общий регламент защиты персональных данных (GDPR):
Глава III Раздел 3 Статья 17 Пункт 1
1. Субъект данных имеет право получить от контролера удаление касающихся его персональных данных без неоправданной задержки, и контролер обязан удалить персональные данные без неоправданной задержки, если применяется одно из следующих оснований:
  • (а) персональные данные больше не являются необходимыми в связи с целями, для которых они были собраны или иным образом обработаны;
  • (б) субъект данных отзывает согласие, на котором основана обработка в соответствии с пунктом (а) статьи 6(1) или пунктом (а) статьи 9(2), и если нет других законных оснований для обработки;
  • (c) субъект данных возражает против обработки в соответствии со статьей 21(1) и нет никаких преобладающих законных оснований для обработки, или субъект данных возражает против обработки в соответствии со статьей 21(2);
  • (d) персональные данные были незаконно обработаны;
  • (e) персональные данные должны быть удалены в соответствии с юридическим обязательством в законодательстве Союза или государства-члена, которому подчиняется контролер;
  • (f) персональные данные были собраны в связи с предложением услуг информационного общества, упомянутых в статье 8(1).