Ксения ШудроваЗащита персональных данных

2015

Shudrova.blogspot.ru

Цифры года

• Рост на 200% обращений граждан, 10% доводов подтверждено.

• Поданы исковые заявления в суд на 96 интернет-ресурсов.

• Штрафы: 5 336 804 рублей.

• 1006 плановые и 184 внеплановых проверок – 684 предписания.

Статья 13.11 КоАП

• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -

• влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Европейская конвенция

• Федеральный закон от 19.12.2005 N 160-ФЗ

• «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

• Цель Конвенции: обеспечение прав и основных свобод человека, в первую очередь права на неприкосновенность личной сферы.

• «Персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных») -статья 2 Конвенции.

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – статья ФЗ «О персональных данных».

Определение персональных данных

Персональные данные, проходящие автоматическую обработку:

• должны быть получены и обработаны законно;

• должны накапливаться для точно определенных и законных целей;

• должны быть адекватными не быть избыточными;

• должны быть точными и в случае необходимости обновляться;

• должны храниться не дольше, чем этого требует цель.

Основные требования Конвенции

• Запрещается требовать от гражданина предоставления информации о его частной жизни и получать такую информацию помимо воли гражданина, если иное не предусмотрено законом.

• Порядок доступа к персональным данным граждан устанавливается федеральным законом о персональных данных.

Закон 149-ФЗ

• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Указ Президента РФ

• Принципы и условия обработки персональных данных.

• Права субъекта персональных данных.

• Обязанности оператора.

• Контроль и надзор за обработкой персональных данных.

• Ответственность за нарушения.

ФЗ № 152 «О персональных данных»

• Требования к содержанию письменного согласия определяются Федеральным законом «О персональных данных», отсутствие необходимой информации в форме является нарушением.

• Примеры целей: исполнение договорных отношений с «ХХХ» или осуществление трудовых отношений с «ХХХ».

• Срок действия можно сформулировать следующим образом: «Согласие вступает в силу со дня передачи мною персональных данных в «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».

Форма согласия

Согласие на обработку

По закону в обязанности ЛОЗООПД входит:• осуществление внутреннего контроля за соблюдением

законодательства Российской Федерации о персональных данных;

• доведение до сведения работников положений законодательства Российской Федерации о персональных данных, локальных актов;

• организация приема и обработки обращений и запросов субъектов персональных данных и (или) осуществление контроля за приемом и обработкой таких обращений.

ЛОЗООПД

• Непредоставление уведомления влечет предупреждение или наложение административного штрафа на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.

• В новую форму была добавлена графа информации об ответственном за организацию обработки персональных данных лице.

• В случае, если ранее уведомление организацией подавалось, но по старой форме, вносить изменения можно по закону до января 2013 года.

Уведомление об обработке

Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа

Специальные категории персональных данных

-сотрудников 1 уровень 2 уровень 3 уровень

-не сотрудников 1 уровень 1 уровень (если более

100000 субъектов)

2 уровень (если менее

100000)

2 уровень (если более 100000 субъектов)

3 уровень (если менее 100000 субъектов)

Биометрические персональные данные

-сотрудников 1 уровень 2 уровень 3 уровень

-не сотрудников 1 уровень 2 уровень 3 уровень

Общедоступные персональные данные

-сотрудников 2 уровень 3 уровень 4 уровень

-не сотрудников 2 уровень 2 уровень (если более

100000 субъектов)

3 уровень (если менее

100000 субъектов)

4 уровень

Иные персональные данные (не специальные, не биометрические, не общедоступные)

-сотрудников 1 уровень 3 уровень 4 уровень

-не сотрудников 1 уровень 2 уровень (если более

100000 субъектов)

3 уровень (если менее

100000 субъектов)

3 уровень (если более 100000 субъектов)

4 уровень (если мене 100000 субъектов)

Класс или уровень?

1 уровень 2 уровень 3 уровень 4 уровень

1 класс + + + +

2 класс - + + +

3 класс - - + +

4 класс - - - +

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Четверокнижие

Некоторые из требований – обязательное присутствие следующих документов:

• перечень информационных систем персональных данных;• перечни персональных данных;• перечень должностей;• должностная инструкция ответственного за организацию

обработки персональных данных в государственном или муниципальном органе;

• типовое обязательство служащего государственного или муниципального органа;

• порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.

Постановление Правительства 211

Приказ 21 ФСТЭК

• Этап 1. Определение базового набора мер защиты.

• Этап 2. Адаптация базового набора мер.

• Этап 3. Уточнение списка мер.

• Этап 4. Добавление дополнительных мер.

• Этап 5 (необязательный). Выбор компенсирующих мер.

• Должна быть возможность определения места хранения персональных данных и установления перечня лиц,осуществляющих обработку персональных данных либо имеющих к ним доступ.

• Необходимо обеспечивать раздельное хранение персональных данных.

• При хранении материальных носителей должен исключаться несанкционированный доступ.

• Перечень мер защиты, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Неавтоматизированная обработка

• Утверждение приказа о назначении ответственных лиц.• Анализ информационной системы.• Разработка формы согласия на обработку ПДн.• Получение согласия сотрудников и клиентов на обработку ПДн.• Утверждение приказа о создании комиссии по классификации ИСПДн.• Классификация ИСПДн.• Подача уведомления в Роскомнадзор.• Разработка и утверждение моделей угроз безопасности ПДн по

требованиям ФСТЭК и ФСБ.• Разработка и утверждение частного технического задания на систему

защиты.• Работа с подрядчиком по поставке, установке и настройке средств

защиты.• Разработка и утверждение нормативной документации.

Основные этапы работ

1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения.

2. Поступление в Службу или ее территориальные органы информации о следующих фактах:

• Возникновение угрозы причинения вреда жизни, здоровью граждан.• Причинение вреда жизни, здоровью граждан.

3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.

5. Нарушение Операторами требований законодательства в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении, фактической деятельности.

Причины проведения внеплановой проверки

• Подача неполных сведений в уведомлении.• Отсутствие документов об ознакомлении работников с

документами работодателя.• Непринятие организационных мер для защиты

персональных данных.• Несоблюдение требований к содержанию письменного

согласия субъекта персональных данных, а также обработка персональных данных без согласия субъекта.

• Осуществление обработки персональных данных близких родственников кандидатов при приеме на работу без их согласия.

• Отсутствие условия договора об обязанности обеспечения конфиденциальности персональных данных при их передаче третьим лицам.

Основные нарушения 1

• Передача персональных данных третьим лицам без получения согласия субъекта.

• Отсутствие перечня лиц, осуществляющих обработку и имеющих доступ к персональным данным.

• Отсутствие сведений о назначении ответственного за организацию обработки персональных данных.

• Отсутствие документов, определяющих политику в отношении обработки персональных данных.

• Отсутствие документа, определяющего оценку вреда, который может быть причинен субъектам персональных данных.

Основные нарушения 2

• Вначале устраняются наиболее часто встречающиеся нарушения.

• При поступлении уведомлении о предстоящей внеплановой проверке, необходимо заранее подготовить помещение, документацию, а также попытаться устранить нарушение.

• Необходимо оперативно готовить новую документацию по требованиям комиссии и вносить изменения в старую.

Памятка по прохождению проверки

Вопросы?

Shudrova.blogspot.rushudrova87@mail.ru