Embed Size (px)
Citation preview
КЛЮЧЕВЫЕ ПРАВОВЫЕ АСПЕКТЫ РЕГУЛИРОВАНИЯ ОБРАБОТКИРЕГУЛИРОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХНА ПРЕДПРИЯТИИ
Илья Рацимор,
ЮРИСТ КОМПАНИИ КРОК
ВСТУПЛЕНИЕВСТУПЛЕНИЕ• Приведение информационных систем ПДн в соответствие
с требованиями ФЗ «О ПДн» до 01 января 2010 гс требованиями ФЗ «О ПДн» до 01 января 2010 г. –непростая задача
• Cроки на приведение ИСПДн в соответствие с требованиями закона были даны не малые. Однако Акты во исполнение закона появились только в феврале 2008 г.
• Поднимался вопрос о переносе сроков на 2 года ОднакоПоднимался вопрос о переносе сроков на 2 года. Однако о реальности данного переноса пока говорить не приходится
• Важна оперативность в комплексном решении технических й би юридических вопросов в данной области
СОДЕРЖАНИЕСОДЕРЖАНИЕ• Оператор ПДн
– Определение оператора ПДн– Случаи, в которых не требуется регистрация лица, обрабатывающего ПДн, в качестве оператора
– Схема работы с ПДн на предприятии
• Субъект ПДн– Согласие субъекта на обработку его ПДн– Право субъекта на доступ к своим ПДнПраво субъекта на доступ к своим ПДн– Право на обжалование действия или бездействия оператора
• Лицензирование деятельности по технической защите информацииинформации
• Трансграничная передача ПДн• Услуги КРОК при работе с ПДну р р Д
ОПРЕДЕЛЕНИЕ ОПЕРАТОРА ПДНОПРЕДЕЛЕНИЕ ОПЕРАТОРА ПДН• Оператор ПДн — государственный орган, муниципальный
форган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки ПДн
• Группа компаний (самостоятельные юр. лица) —оператором ПДн будет являться каждое из них в случае, если оно фактически обрабатывает ПДнесли оно фактически обрабатывает ПДн
• Выработка схемы взаимодействия между операторами. Только 64,3% компаний имеют монопольный доступ к обрабатываемым ПДн, остальные допускают к информации дочерние или материнские структуры либо партнеров
СЛУЧАИ В КОТОРЫХ НЕ ТРЕБУЕТСЯСЛУЧАИ, В КОТОРЫХ НЕ ТРЕБУЕТСЯ РЕГИСТРАЦИЯ ОПЕРАТОРА• Оператор ПДн до начала обработки обязан уведомить
Роскомнадзор о своем намерении осуществлять обработку ПДн• Исключения
– Договоры с клиентами в части ПДн (условие)– Обработка ПДн без автоматизации– Обработка ПДн без автоматизации– Связь с оператором трудовыми отношениями и т.д.
СОДЕРЖАНИЕ ДОГОВОРОВСОДЕРЖАНИЕ ДОГОВОРОВ С КЛИЕНТАМИ В ЧАСТИ ПДПример• Фирма А заключает с банком (Б) договор
В А б б ПД Б• В рамках договора А обрабатывает ПДн, связанных с Б физических лиц
• В договоре А прописывает, что Б обязуется уведомить эти лица д р р , у у д цо необходимости обработки и получить от них письменное согласие. Ответственность за передачу для дальнейшей обработки несет Бобработки несет Б
• В договоре указывается, что ПДн используются А только для целей исполнения договора
ОБРАБОТКА ПДНОБРАБОТКА ПДНБЕЗ АВТОМАТИЗАЦИИ• Обработка ПДн считается осуществленной без использования
средств автоматизации, если такие действия с ПДн как использование уточнение распространениес ПДн, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов осуществляются при непосредственном участии человекаЕ й б• Если истекает срок действия трудового договора с работником фирмы, а его данные надо и дальше обрабатывать, чтобы не регистрироваться как оператору, фирме требуется– Сократить состав обрабатываемых ПДн до необходимых после
увольнения– Вести только неавтоматизированную обработкур у р у
СХЕМА РАБОТЫ С ПДН ДНА ПРЕДПРИЯТИИ• Проведение анализа всех ИС на предприятии. Вычленение ИСПДнр д р д р Д• Составление перечня ПДн• Проверка на наличие оснований, когда не требуется получение
согласия субъекта на обработкусогласия субъекта на обработку• Пересмотр трудовых договоров с работниками и договоров
с клиентами на предмет обработки ПДнО б ПД• Определение и обозначение в документах срока хранения ПДн(например, срок хранения ПДн работника в кадровой службе предприятия — 75 лет). Срок определяется конкретной датой или наступлением события При достижении цели обработкаили наступлением события. При достижении цели обработка должна быть прекращена
• Разработка или совершенствование существующей нормативной ра о ой ор а за о о рас ор е ой базправовой и организационно-распорядительной базы, регламентирующей обработку ПДн на предприятии
НОРМАТИВНО-МЕТОДИЧЕСКИЕНОРМАТИВНО МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ• Регистрация запросов пользователей ИС на получение ПДн• Регистрация запросов пользователей ИС на получение ПДн,
а также фактов предоставления ПДн в электронном журнале обращений
• Данный журнал может быть сделан в виде корпоративного портала/страницы на корпоративном портале
• Ведение учета лиц, работающих с ПДнВедение учета лиц, работающих с ПДн• Разработка Положения об организации работы с ПДн
в компании (может включать перечень ПДн, порядок их обработки список лиц/должностей имеющих доступ к ПДних обработки, список лиц/должностей, имеющих доступ к ПДнс указанием порядка и пределов доступа в зависимости от цели обработки, форму обязательства о неразглашении ПДн
бсотрудника лицом, имеющим доступ, форму согласия субъекта на обработку его ПДн и тд)
СОГЛАСИЕ СУБЪЕКТАСОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ЕГО ПДН• Должно быть получено при обработке ПДн субъекта• Исключения: обработка на основании ФЗ; в целях исполнения
договора с субъектом; для защиты жизни, здоровья субъекта при невозможности получения согласия и т.д.)
• Должно быть получено в письменной форме (установлена законом)– Биометрические ПДнр Д– ПДн специальных категорий– Трансграничная передачи ПДн на территорию государств,
не обеспечивающих адекватной защиты прав субъектов ПДнуОбязанность доказывать необходимость получения согласия субъекта на обработку его ПДн лежит на операторе. КРОК занимается разработкой возможной формы согласия субъектаф р у
ПРАВО СУБЪЕКТА НА ДОСТУППРАВО СУБЪЕКТА НА ДОСТУП К СВОИМ ПДН• Субъекту ПДн или его законному представителю при обращении• Субъекту ПДн или его законному представителю при обращении
либо по запросу предоставляется доступ к его ПДн• Сведения о наличии ПДн должны предоставляться в доступной форме• Сведения не должны содержать ПДн, относящиеся к другим субъектам• Права субъекта ПДн на доступ к своим ПДн могут быть ограничены
законом (если обработка проводилась в процессе специализированной деятельности в целях обороны страны; если предоставление ПДннарушает конституционные права и свободы других лиц и т.д.)
• Субъект имеет право требовать от оператора уточнения своих ПДн, их блокирования или уничтожения, принимать меры по защите своих прав
ПРАВО НА ОБЖАЛОВАНИЕПРАВО НА ОБЖАЛОВАНИЕ
• Роскомнадзор (уполномоченный орган• Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн)
• СудСуд
ПРАВА РОСКОМНАДЗОРА, ФСБ, ФСТЭКД , ,• По ФЗ «О ПДн»
(по запросу субъекта, на основании уведомления)Р• Роскомнадзор вправе принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требования 152-ФЗКроме того, государственный контроль и надзор за обеспечением безопасности ПДн осуществляют
ФСБ– ФСБ– ФСТЭК Вправе осуществлять контроль и надзор без права ознакомления с ПДн, обрабатываемыми в ИСПДн
• В будущем планируется разработка Регламента взаимодействия, в рамках которого работа регуляторов на предмет проведенияв рамках которого работа регуляторов на предмет проведения проверки оператора ПДн станет более слаженной
ПРАВО НА ОБЖАЛОВАНИЕ В СУДЕПРАВО НА ОБЖАЛОВАНИЕ В СУДЕ
Ст 24 ФЗ «О персональных данных»:Ст. 24 ФЗ «О персональных данных»:«…лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, д р , у р д у , у у ,административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность»
ОТВЕТСТВЕННОСТЬОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПДНС ПДН• Гражданская ответственностьр д• Уголовная ответственность• Административная ответственностьАдминистративная ответственность• Дисциплинарная ответственность
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ• Уголовная ответственность предусмотрена ст. 137
УКРФ «Нарушение неприкосновенности частнойУКРФ «Нарушение неприкосновенности частной жизни»
• С 01.01. 2010 года по данной статье возможно будетС 01.01. 2010 года по данной статье возможно будет лишение свободы на срок до двух лет с запрещением занимать определенные должности или заниматься определенной деятельностью на срок до трех лет
ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ Ц ДПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИИНФОРМАЦИИ • Операторы ИСПДн при проведении мероприятий
по обеспечению безопасности ПДн должны получить лицензиюпо обеспечению безопасности ПДн должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации.
• Лицензия на осуществление деятельности по технической защите конфиденциальной информации — согласно пп. 11 п. 1. ст. 17 ФЗ «О лицензировании отдельных видов деятельности»ц р д д д
• Лицензирование осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК)
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ Ц• Наличие в штате соответствующих специалистов, соответствующих
помещений, специального оборудования, программ для ЭВМ и т.д. • Безопасность ПДн при их обработке в ИС обеспечивает оператор
или лицо, которому на основании договора оператор поручает обработку ПДн (уполномоченное лицо). Данное лицо должно иметь лицензию ФСТЭК. Такая лицензия есть у КРОК
• Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность ПДни безопасность ПДн при их обработке в ИС
• Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается р ф рна их разработчиков
• При этом оператору не требуется лицензия, но он продолжает нести обязанности оператора, т.к. цели и содержание обработки ПДнр р , ц д р р Дформирует он
ОТВЕТСТВЕННОСТЬ ЗА НЕЗАКОННУЮ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИВ ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ• УК РФ и КоАП РФ• Уголовная ответственность: ст 171 УК РФ• Уголовная ответственность: ст. 171 УК РФ
(Незаконное предпринимательство)• По данной статье возможны обязательные работы• По данной статье возможны обязательные работы на срок от 180 до 240 часов, либо арест на срок от 4 до 6 месяцевд ц
ОТВЕТСТВЕННОСТЬ ЗА НЕЗАКОННУЮ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ• Административная ответственность:ст 13 13 КоАП РФ (Незаконная деятельность
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
ст. 13.13. КоАП РФ (Незаконная деятельность в области защиты информации)
• Влечет наложение на юридических лиц штрафа —Влечет наложение на юридических лиц штрафа от 10 000 до 20 000 рублей с конфискацией средств защиты информации или без таковой
ОТВЕТСТВЕННОСТЬ ЗА НЕЗАКОННУЮ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИВ соответствии со ст. 13.12 КоАП• Нарушение условий, предусмотренных лицензией на осуществление
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИу у у у
деятельности в области защиты информации (за исключением информации, составляющей государственную тайну):– влечет наложение административного штрафа на юридических лиц д р р ф р д ц
— от 5 000 до 10 000 рублей• Использование несертифицированных средств защиты информации,
если они подлежат обязательной сертификации (за исключением д р ф ц (средств защиты информации, составляющей государственную тайну):– влечет наложение административного штрафа на юридических лиц
— от 10 000 до 20 000 рублей с конфискацией несертифицированныхот 10 000 до 20 000 рублей с конфискацией несертифицированныхсредств защиты информации или без таковой.
ОТВЕТСТВЕННОСТЬ ЗА НЕЗАКОННУЮ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ• Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
лицензией на осуществление деятельности в области защиты информации может повлечь административное приостановлениеадминистративное приостановление деятельности юридического лица на срок до девяноста суток
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДНТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН• Трансграничная передача ПДн — передача ПДн оператором
через Государственную границу Россиичерез Государственную границу России• Обязательное условие — предварительное получение
оператором достоверных сведений о возможности адекватной ПДзащиты ПДн как в момент их передачи, так и на территории
принимающей стороны• Трансграничная передача ПДн на территории иностранных р р р рр р р
государств осуществляется в соответствии с ФЗ РФ «О ПДн» и может быть запрещена или ограничена в определенных целях
• Допускается в некоторых случаях трансграничная передача• Допускается в некоторых случаях трансграничная передача ПДн, даже если адекватная защита не обеспечивается (наличие письменного согласия субъекта, защиты жизни, здоровья с б е а е за ос о о с о о о с ро )субъекта, в целях защиты основ конституционного строя и т.д.)
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН• Конвенция Совета Европы «О защите физических лиц при
автоматизированной обработке персональных данных»
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН
автоматизированной обработке персональных данных»• Сторона не должна запрещать или обусловливать специальным
разрешением трансграничные потоки персональных данных, й С йидущие на территорию другой Стороны, с единственной целью
защиты частной жизни• Исключения:
– Наличие специальных правил у Стороны– Передача на территорию государства, не являющегося Стороной
Конвенции через территорию другой стороныКонвенции, через территорию другой стороныТаким образом, на трансграничную передачу ПДн не требуется согласия регулятора
СХЕМА РАБОТЫ КРОК С ПДНСХЕМА РАБОТЫ КРОК С ПДН
• КРОК — поставщик «Внешней услуги» по приведению ИСПДн заказчиков в соответствие с требованиями Федерального закона (обработка ПДн осуществляетсяФедерального закона (обработка ПДн осуществляется вне информационных систем КРОК)
• КРОК — уполномоченное лицо по обработке ПДнзаказчиков в соответствии с требованиями договоровзаказчиков в соответствии с требованиями договоров (обработка ПДн осуществляется внутри информационных систем КРОК)
СХЕМА РАБОТЫ КРОК С ПДН
Об
СХЕМА РАБОТЫ КРОК С ПДН. ПЕРЕЧЕНЬ УСЛУГ
• Обследование и аудит информационных систем (ИС) на соответствие требованиям закона
• Разработка Модели угроз и Концепции (Стратегии) азрабо а оде у роз о це ц (С ра е )системы защиты персональных данных
• Разработка НМД для оформления процедур обработки ПДнв соответствии с законом
• Разработка технического проекта системы защиты персональных данных СЗПДн
• Внедрение технических средств СЗПДн, их поддержка и аутсорсинг
С ф ИСПД• Сертификация и аттестация ИСПДн и средств защиты
СПАСИБО ЗА ВНИМАНИЕ!СПАСИБО ЗА ВНИМАНИЕ!
Илья Рацимор,
ЮРИСТ КОМПАНИИ КРОКТ.: (495)974-22-74 доб. 4511Ф: (495) 974 2277email: [email protected]
