Download
1 / 24
E N D
О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 2012 г.
Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств регулируются Федеральным законом от 27 июля 2006 года № 152-ФЗ
Контроль и надзор за выполнением требований в сфере ПД Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций(Роскомнадзор) – уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона № 152-ФЗ Федеральная служба безопасности - уполномоченный орган по защите персональных данных в государственных информационных системах в части шифровальных (криптографических) средств защиты информации Федеральная служба по техническому и экспортному контролю – уполномоченный орган по защите персональных данных в государственных информационных системах, за исключением шифровальных (криптографических) средств защиты информации
Основные понятия, используемые в Законе Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Основные понятия, используемые в Законе Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожениеперсональных данных
Перечень правовых и нормативно-методических документов по защите персональных данных • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» • Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» • Приказ Роскомнадзора от 19 августа 2011 г. № 706 "Об утверждении образца формы уведомления об обработке персональных данных" • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника» • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» • Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» • Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Перечень правовых и нормативно-методических документов по защите персональных данных • Указ Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» • Федеральный закон от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» • Федеральный закон от 30.12.2001 № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях • Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» • Постановление Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» Перечень документов на Портале ПД - http://www.pd.rsoc.ru/law/ Перечень документов на сайте Роскомнадзора – http://www.rsoc.ru/chamber-of-commerce/personal-data/
Перечень правовых и нормативно-методических документов по защите персональных данных • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» • Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" • Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/54-144) • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622) • Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»
Полномочия Роскомнадзора в сфере ПД • Осуществляет государственный надзор и контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных • Ведет реестр операторов, осуществляющих обработку персональных данных • Осуществляет прием граждан и обеспечивает своевременное и полное рассмотрение устных и письменных обращений граждан, принятие по ним решений и направление заявителям ответов в установленный законодательством Российской Федерации срок
Права Службы и территориальных органов • регистрировать полученные уведомления об обработке персональных данных и их обработка для принятия решения по утверждению или отклонению; • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных • запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; • принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде; • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; • направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
Уведомление об обработке персональных данных 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Уведомление об обработке персональных данных (образец формы)
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru
Примерный перечень запрашиваемых документов в ходе проведения проверок • учредительные документы (Устав); • выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки; • копия уведомления об обработке персональных данных или справку о причинах непредставления указанного уведомления; • положение о порядке обработки персональных данных; • положение о подразделении, осуществляющем функции по организации защиты персональных данных; • приказ о назначении ответственных лиц по работе с персональными данными; • должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; • типовые формы документов, предполагающие или допускающие содержание персональных данных; • письменное согласие субъектов персональных данных на обработку их персональных данных; • договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; • распечатки электронных шаблонов полей, содержащие персональные данные; • приказы об утверждении мест хранения материальных носителей персональных данных;
Примерный перечень запрашиваемых документов в ходе проведения проверок (продолжение) • журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях; • справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных; • приказ о создании комиссии и акты проведения классификации ИСПДн (проверяется только наличие данных документов); • журналы (книги) учета обращений граждан (субъектов персональных данных); • акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки).
Основные нарушения, выявляемые в ходе проведения проверок • отсутствие у оператора организационно-распорядительных документов, которые регламентируют весь процесс обработки, хранения, передачи и защиты персональных данных (положение по обработке персональных данных, регламенты, приказы и т.д.); • передача персональных данных третьим лицам без получения согласия субъекта персональных данных; • обработка персональных данных без согласия субъекта персональных данных; • отсутствие в договоре существенного условия об обеспечении конфиденциальности и безопасности персональных данных, невыполнение других условий ч. 3 ст. 6 Закона в случае, когда оператор на основании данного договора поручает обработку персональных данных другому лицу; • размещение в СМИ персональных данных субъекта персональных данных; • отсутствие у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг; • непредставление уведомления об обработке персональных данных в уполномоченный орган (Роскомнадзор); • непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;
Ответственность за невыполнение требований законодательства в сфере ПД • Кодекс об административных правонарушениях РФ (КоАП РФ) статьи 13.11, 13.14, 5.39, 19.7 • Уголовный Кодекс РФ статьи 137, 140, 272
Информационное обеспечение деятельности Службы и Управления Интернет-портал службы http://www.rsoc.ru/ http://роскомнадзор.рф/ Портал персональных данных http://pd.rsoc.ru Интернет-страница Управления http://39.rsoc.ru/
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Калининградской области (Управление Роскомнадзора по Калининградской области) Спасибо за внимание! 236035, Калининград, ул. Коммунальная 4, Абонементный ящик 5149 http://39.rsoc.ru
