Embed Size (px)
DESCRIPTION
Персональные данные. Ижевск , 29 марта 2012. Правовая база:. Основной закон по теме - ФЗ «О персональных данных» №152-ФЗ от 27.06.2006 г. (с изменениями от 25.07.2011 г.) Ряд постановлений Правительства РФ и ведомственные правовые акты (список в раздатке ). Что такое персональные данные?. - PowerPoint PPT Presentation
Citation preview
Персональные данные Ижевск, 29 марта 2012
Правовая база:
• Основной закон по теме - ФЗ «О персональных данных» №152-ФЗ от 27.06.2006 г. (с изменениями от 25.07.2011 г.)
• Ряд постановлений Правительства РФ и ведомственные правовые акты (список в раздатке)
Что такое персональные данные?
1. Любая информация относящаяся к прямо или косвенно определенному и определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ «О персональных данных»)
2. Какая информация, по мнению Роскомнадзора, включается в уведомление об обработке персональных данных, то и следует считать ПД
Субъекты обработки ПД
• Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД
• Субъект ПД – физическое лицо, кому принадлежат обрабатываемые ПД
Обработка ПД
- Это действия, связанные с использованием ПД:– Сбор– Запись– Систематизация– Накопление– Хранение – Обновление– Извлечение – Использование– Передача (распространение, доступ, предоставление)– Обезличивание– Блокирование – Удаление – Уничтожение
Условие соблюдения ФЗ «О ПД» – обеспечить их защиту
• обязательное для соблюдения оператором требование - не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Согласие на обработку ПД:
• конкретное, информированное и сознательное
• может быть получено в любой позволяющей подтвердить факт его получения форме (лучше письменной)
• Обязанность получить согласие на обработку ПД лежит на операторе
Письменная форма согласия
• ФИО, адрес субъекта ПД, реквизиты документа, удостоверяющего его личность;• ФИО, адрес представителя субъекта ПД, номер основного документа, удостоверяющего
его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки ПД;• перечень ПД, на обработку которых дается согласие;• наименование или ФИО и адрес лица, осуществляющего обработку персональных
данных по поручению оператора, если обработка будет поручена такому лицу;• перечень действий с ПД, на совершение которых дается согласие, общее описание
используемых оператором способов обработки ПД;• срок, в течение которого действует согласие субъекта ПД а также способ его отзыва;• подпись субъекта персональных ПД.
Что нужно делать, если ПД должны быть обработаны оператором?
Подать уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) до начала их обработки.
Как подать уведомление?
1. В письменной форме с подписью должностного лица и предоставить в УПРАВЛЕНИЕ РОСКОМНАДЗОРА ПО УДМУРТСКОЙ РЕСПУБЛИКЕ (5-я Подлесная ул., д. 12-а, г. Ижевск, Удмуртская Республика, 426069)
2. В электронной форме с электронной цифровой подписью на сайте www.18.rsoc.ru
Кроме персональных данных:
1. полученных оператором при заключении трудовых отношений
2. полученных оператором в связи с заключением договора, стороной которого является субъект ПД, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД
3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией при условии, что ПД не будут распространяться без согласия в письменной форме субъектов ПД
продолжение
4. являющихся общедоступными ПД
5. включающих в себя только ФИО субъектов ПД
6. необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях
7. включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка
8. обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД.
А что дальше?
Направление уведомления об обработке персональных данных в Роскомнадзор, автоматически влечет за собой включение организации в реестр операторов, и, соответственно, в список плановых проверок (план проверок на текущий год размещен в свободном доступе на официальном сайте Роскомнадзора www.rsoc.ru)
А если не уведомить Роскомнадзор?
1.Административная ответственность:- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ) – для юр.лиц от 5000до 10000 рублей.
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП) – для должностных лиц от 4000 до 5000 рублей
- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ) – для юр.лиц от 3000 до 5000 рублей
Уголовная ответственность:
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (лишение свободы до 2-х лет), если те же деяния были совершены с использованием своего служебного положения – до 4-х лет лишения свободы (ст. 137 УК РФ)
Государственные органы – регуляторы в области обработки ПД
1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
2. Федеральная служба по техническому и экспортному контролю (ФСТЭК)
3. Федеральная служба безопасности (ФСБ)
4. Органы прокуратуры РФ
5. Федеральная инспекция труда
Какие действия и меры необходимо предпринять?
1. Провести классификацию своих информационных систем ПД, определить какие категории ПД обрабатываются, виды обработки ПД, какой класс защиты ПД требуется (классификация проводится в соответствии с требованиями совместного Приказа ФСТЭК, ФСБ и Мин-ва информационных технологий и связи РФ от 13.02.2008 №55/86/20).
2. Оператором выносится приказ о назначении комиссии по классификации информационных систем ПД. Процедура заканчивается составлением акта.
А дальше?
3.Должно быть разработано и утверждено Положение об обработке ПД с обязательным ознакомлением сотрудников с ним
4.Организация своим приказом назначает лицо, ответственное за обработку ПД
Организация – оператор обязана также разработать и ряд других локальных (внутренних) актов, например, приказ о допуске к обработке ПД, документы по поставке и программное обеспечение СЗИ, приказ о вводе системы в эксплуатацию, инструкция по антивирусному обеспечению, документы по прохождению обучения сотрудников требованиям обеспечения безопасности ПД и т.д.
Спасибо
за внимание!
