2012 г.

О ЗАЩИТЕПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ

ДАННЫХ

Отношения, связанные с обработкой персональных данных, осуществляемой

федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными

государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими

лицами, физическими лицами с использованием средств автоматизации или

без использования таких средств регулируются Федеральным законом от 27

июля 2006 года № 152-ФЗ

Контроль и надзор за выполнением требований в сфере ПД

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона № 152-ФЗФедеральная служба безопасности - уполномоченный орган по защите персональных данных в государственных информационных системах в части шифровальных (криптографических) средств защиты информацииФедеральная служба по техническому и экспортному контролю – уполномоченный орган по защите персональных данных в государственных информационных системах, за исключением шифровальных (криптографических) средств защиты информации

Основные понятия, используемые в Законе

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Основные понятия, используемые в Законе

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Перечень правовых и нормативно-методических документов по защите персональных данных

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами »

Приказ Роскомнадзора от 19 августа 2011 г. № 706 "Об утверждении образца формы уведомления об обработке персональных данных"

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника»

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»

Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Перечень правовых и нормативно-методических документов по защите персональных данных

Указ Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

Федеральный закон от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности»

Федеральный закон от 30.12.2001 № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях

Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

Постановление Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

Перечень документов на Портале ПД - http://www.pd.rsoc.ru/law/

Перечень документов на сайте Роскомнадзора – http://www.rsoc.ru/chamber-of-commerce/personal-data/

Перечень правовых и нормативно-методических документов по защите персональных данных

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/54-144)

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622)

Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»

Полномочия Роскомнадзора в сфере ПД

Осуществляет государственный надзор и контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных

Ведет реестр операторов, осуществляющих обработку персональных данных

Осуществляет прием граждан и обеспечивает своевременное и полное рассмотрение устных и письменных обращений граждан, принятие по ним решений и направление заявителям ответов в установленный законодательством Российской Федерации срок

Права Службы и территориальных органоврегистрировать полученные уведомления об обработке персональных данных и их обработка для принятия решения по утверждению или отклонению;

осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных

запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью

Уведомление об обработке персональных данных

1) наименование (фамилия, имя, отчество), адрес оператора;2) цель обработки персональных данных;3) категории персональных данных;4) категории субъектов, персональные данные которых обрабатываются;5) правовое основание обработки персональных данных;6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;8) дата начала обработки персональных данных;9) срок или условие прекращения обработки персональных данных;10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление об обработке персональных данных (образец формы)

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Электронная форма уведомления на портале персональных данных http://pd.rsoc.ru

Примерный перечень запрашиваемых документов в ходе проведения проверок

учредительные документы (Устав);

выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки;

копия уведомления об обработке персональных данных или справку о причинах непредставления указанного уведомления;

положение о порядке обработки персональных данных;

положение о подразделении, осуществляющем функции по организации защиты персональных данных;

приказ о назначении ответственных лиц по работе с персональными данными;

должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;

типовые формы документов, предполагающие или допускающие содержание персональных данных;

письменное согласие субъектов персональных данных на обработку их персональных данных;

договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;

распечатки электронных шаблонов полей, содержащие персональные данные;

приказы об утверждении мест хранения материальных носителей персональных данных;

Примерный перечень запрашиваемых документов в ходе проведения проверок

(продолжение)

журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;

справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;

приказ о создании комиссии и акты проведения классификации ИСПДн (проверяется только наличие данных документов);

журналы (книги) учета обращений граждан (субъектов персональных данных);

акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки).

Основные нарушения, выявляемые в ходе проведения проверок

отсутствие у оператора организационно-распорядительных документов, которые регламентируют весь процесс обработки, хранения, передачи и защиты персональных данных (положение по обработке персональных данных, регламенты, приказы и т.д.);

передача персональных данных третьим лицам без получения согласия субъекта персональных данных;

обработка персональных данных без согласия субъекта персональных данных;

отсутствие в договоре существенного условия об обеспечении конфиденциальности и безопасности персональных данных, невыполнение других условий ч. 3 ст. 6 Закона в случае, когда оператор на основании данного договора поручает обработку персональных данных другому лицу;

размещение в СМИ персональных данных субъекта персональных данных;

отсутствие у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг;

непредставление уведомления об обработке персональных данных в уполномоченный орган (Роскомнадзор);

непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;

Ответственность за невыполнение требований законодательства в сфере ПД

Кодекс об административных правонарушениях РФ (КоАП РФ) статьи 13.11, 13.14, 5.39, 19.7

Уголовный Кодекс РФ статьи 137, 140, 272

Информационное обеспечение деятельности Службы и Управления

Интернет-портал службы http://www.rsoc.ru/ http://роскомнадзор.рф/

Портал персональных данных http://pd.rsoc.ru

Интернет-страница Управления http://39.rsoc.ru/

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых

коммуникаций по Калининградской области(Управление Роскомнадзора по Калининградской

области)

Спасибо за внимание!

236035, Калининград, ул. Коммунальная 4,Абонементный ящик 5149

http://39.rsoc.ru