Embed Size (px)
DESCRIPTION
Управление Роскомнадзора по Республике Башкортостан. Главный специалист-эксперт отдела по защите прав субъектов персональных данных. Салихов Ильдар Амирович. Основные определения. - PowerPoint PPT Presentation
Citation preview
Салихов Ильдар Амирович
Управление Роскомнадзора по Республике Башкортостан
Главный специалист-эксперт отдела по защите прав субъектов
персональных данных
Основные определенияОсновные определения
Персональные данныеПерсональные данные – любая – любая информация, относящаяся к прямо или информация, относящаяся к прямо или косвенно определенному или косвенно определенному или определяемому физическому лицу определяемому физическому лицу (субъекту персональных данных).(субъекту персональных данных).
Основные определенияОсновные определения ОператорОператор – государственный орган, – государственный орган,
муниципальный орган, юридическое или муниципальный орган, юридическое или физическое лицо, самостоятельно или физическое лицо, самостоятельно или совместно с другими лицами совместно с другими лицами организующие и (или) осуществляющие организующие и (или) осуществляющие обработку персональных данных, а также обработку персональных данных, а также определяющие цели обработки определяющие цели обработки персональных данных, состав персональных данных, состав персональных данных, подлежащих персональных данных, подлежащих обработке, действия (операции), обработке, действия (операции), совершаемые с персональными даннымисовершаемые с персональными данными
Основные определенияОсновные определения Обработка персональных данныхОбработка персональных данных – –
любое действие (операция) или любое действие (операция) или совокупность действий (операций), совокупность действий (операций), совершаемых с использованием средств совершаемых с использованием средств автоматизации или без использования автоматизации или без использования таких средств с персональными данными, таких средств с персональными данными, включая сбор, запись, систематизацию, включая сбор, запись, систематизацию, накопление, хранение, уточнение накопление, хранение, уточнение (обновление, изменение), извлечение, (обновление, изменение), извлечение, использование, передачу (распространение, использование, передачу (распространение, предоставление, доступ), обезличивание, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение блокирование, удаление, уничтожение персональных данныхперсональных данных
Основные определенияОсновные определения Автоматизированная обработка Автоматизированная обработка
персональных данныхперсональных данных - обработка - обработка персональных данных с помощью персональных данных с помощью средств вычислительной техникисредств вычислительной техники..
Нормативно-правовая база
1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (особое внимание уделить ст.ст. 6, 7, 10, 18.1, 19, 22).
2. «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утв. постановлением Правительства РФ № 1119 от 01.11.2012.
3. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утв. постановлением Правительства РФ №687 от 15.09.2008.
4. «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утв. Постановлением Правительства РФ № 211 от 21.03.2012.
Ответственность
Кодекс Российской Федерации об административных правонарушениях (Федеральный закон от 30.12.2001 № 195-ФЗ),
ст. 5.39. Отказ в предоставлении гражданину информации;
ст. 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
ст. 13.14. Разглашение информации с ограниченным доступом;
ст. 19.7. Непредставление сведений (информации).
Уголовный кодекс Российской Федерации (Федеральный закон от 13.06.1996 № 63-ФЗ),
ст. 137. Нарушение неприкосновенности частной жизни.
Обязанности оператора
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и иными соответствующими нормативными правовыми актами.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей предусмотренных Федеральным законом и иными НПА.
Принимаемые операторами меры
Назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
Принимаемые операторами мерыЛицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Принимаемые операторами меры
Издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Принимаемые операторами меры
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Ознакомление работников оператора, непосредственно осу-ществляющих обработку персо-нальных данных, с положениями законодательства РФ о персональ-ных данных документами, опреде-ляющими политику оператора в отношении обработки персональ-ных данных, локальными актами по вопросам обработки персо-нальных данных, и (или) обучение указанных работников
Принимаемые операторами меры
Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и соответствующим НПА, требованиям к защите персональных данных, политике оператораОценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона
Принимаемые операторами меры
Обработка персональных данных, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Принимаемые операторами меры
При хранении материальных При хранении материальных носителей должны соблюдаться носителей должны соблюдаться условия, обеспечивающие условия, обеспечивающие сохранность персональных данных и сохранность персональных данных и исключающие несанкционированный к исключающие несанкционированный к ним доступ. Перечень мер, ним доступ. Перечень мер, необходимых для обеспечения таких необходимых для обеспечения таких условий, порядок их принятия, а условий, порядок их принятия, а также перечень лиц, ответственных также перечень лиц, ответственных за реализацию указанных мер, за реализацию указанных мер, устанавливаются оператором устанавливаются оператором
Принимаемые операторами меры
При ведении журналов (реестров, При ведении журналов (реестров, книг), содержащих персональные данные, книг), содержащих персональные данные, необходимые для однократного пропуска необходимые для однократного пропуска субъекта персональных данных на субъекта персональных данных на территорию, на которой находится оператор, территорию, на которой находится оператор, должны соблюдаться следующие условия:должны соблюдаться следующие условия:1) 1) необходимость ведениянеобходимость ведения такого журнала такого журнала (реестра, книги) должна быть предусмотрена (реестра, книги) должна быть предусмотрена актом оператораактом оператора, содержащим сведения, , содержащим сведения, предусмотренные п. 8 Постановления предусмотренные п. 8 Постановления Правительства № 687 от 15.09.2008;Правительства № 687 от 15.09.2008;2) копирование содержащейся в таких 2) копирование содержащейся в таких журналах (реестрах, книгах) информации не журналах (реестрах, книгах) информации не допускаетсядопускается
Принимаемые операторами меры
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
Обязанности оператора при автоматизированной обработке персональных данных
5) учетом машинных носителей персональных данных;6) обнаружением фактов несанкционированного доступа
к персональным данным и принятием мер;7) восстановлением персональных данных,
модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Обязанности оператора при автоматизированной обработке персональных данных
Оператор обязан предоставить документы и локальные акты определяющие обработку персональных данных и (или) иным образом подтвердить принятие мер по запросу уполномоченного органа по защите прав субъектов персональных данных.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Обязанности оператора
Уведомление об обработке персональных данных
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
На территории Республики Башкортостан уполномоченным органом по защите прав субъектов персональных данных является Управление Роскомнадзора по Республике Башкортостан
Обязанности оператора:
На официальном сайте Управления Роскомнадзора по РБ
http://02.rkn.gov.ru
размещены форма уведомления,типовые образцы,
рекомендации по заполнению
Уведомление об обработке персональных данных можно заполнить
в электронном виде. Заполненное уведомление необходимо
распечатать, подписать руководителем и направить почтой в адрес Управления
Роскомнадзора по РБ:
450005, г. Уфа, ул. 50 лет Октября, 20/1
Телефон «горячей линии» (347) 279-11-21
Проверить наличие организации в Реестре ипросмотреть информацию об уведомлении
можно просмотреть на Портале
http://pd.rkn.gov.ru
1. Обработка избыточных персональных данных, не предусмотренных Трудовым кодексом, Налоговым кодексом и иными федеральными законами.
2. Передача персональных данных без письменного согласия субъектов (например, направление сведений в Сбербанк, УралиСиб, передача сведений для участия в конкурсах и т.д.).
3. Ведение журнала учета посетителей без составления акта, предусмотренного п.8 постановления Правительства № 687 от 15.09.2008.
4. Неознакомление сотрудников, осуществляющих обработку персональных данных, с требованиями законодательства, а также с внутренними документами.
5. Неознакомление работников с их правами по обработке их персональных данных. Отсутствие документа, регламентирующего правила обработки персональных данных сотрудников.
Часто встречаемые нарушения:
СПАСИБО ЗА ВНИМАНИЕ!
(347) 279-11-21
