Практика проведения проверок соблюдения законодательства о персональных данных в отношении учреждений здравоохранения Ярославской области Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Лысова Маргарита Александровна
Как узнать о предстоящей плановой проверке?
Порядок проведения проверки
С чего начинается проверка? УВЕДОМЛЕНИЕ (КОПИЯ ПРИКАЗА)
НАЧАЛО ПРОВЕРКИ 1. Вручение документов, разъяснение 2. Определение полномочий должностного лица, представляющего оператора и участвующего в проверке
Проверка соответствия обработки персональных данных требованиям нормативных правовых актов
Совместное творчество сотрудников оператора оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и иными НПА
Уведомление об обработке персональных данных, Информационные письма о внесении изменений Содержание = фактическая действительность Срок предоставления сведений (10 рабочих дней)
Условия, допускающие обработку персональных данных (ч. 1 ст ФЗ) Федеральные законы и иные НПА (закреплены функции, полномочия, обязанности оператора) Договор с субъектом ПДн Согласие субъекта ПДн (его представителя) Иные
БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
ОШИБКА! Сведения об инвалидности Наличие конкретного заболевания Приметы внешности (родинки, шрамы) НЕ БИОМЕТРИЧЕСКИЕ ПДн
Наличие фактов обработки биометрических ПДн Письменное согласие субъекта ПДн. Сведения, подтверждающие правомерность обработки биометрических ПДн без письменного согласия субъекта в случаях, установленных 152-ФЗ (ч. 2 ст ФЗ).
Специальные категории персональных данных Расовая принадлежность Национальная принадлежность Политические взгляды Религиозные убеждения Философские убеждения Состояние здоровья, интимной жизни Сведения о судимости
Наличие фактов обработки специальных категорий ПДн Письменное согласие субъекта ПДн Сведения, подтверждающие правомерность обработки специальных категорий ПДн в случаях, установленных 152-ФЗ (ч. 2 ст ФЗ)
Трансграничная передача персональных данных - передача данных на территорию иностранных государств
Соблюдение условий трансграничной передачи ПДн Проверка сведений, подтверждающих проведение оператором оценки адекватности защиты прав субъектов ПДн на территории иностранного государства. Наличие письменного согласия субъекта ПДн и иных оснований трансграничной передачи оператором персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту персональных данных.
Согласие на обработку персональных данных 1. необходимо ли получать согласие на обработку персональных данных? 2. необходимо ли получать согласие в письменной форме?
необходимо получать согласие на обработку персональных данных необходимо получать согласие в письменной форме Согласие должно соответствовать требованиям ч. 4 ст ФЗ, если:
Поручение обработки ПДн третьим лицам Согласие субъекта на передачу его ПДн третьему лицу (если иное не предусмотрено федеральным законом). Договор, заключенный с третьим лицом, касающийся поручения на обработку персональных данных (ч. 3 ст. 6 ФЗ «О персональных данных»).
Уничтожение ПДн по достижению цели обработки либо в случае отзыва субъектом согласия на обработку ПДн Локальные акты, устанавливающие порядок и условия уничтожения персональных данных. Акты об уничтожении персональных данных.
Соблюдение конфиденциальности при обработке ПДн Документы и сведения, подтверждающие соблюдение требований конфиденциальности персональных данных при взаимодействии с третьими лицами
Ответственный за организацию обработки ПДн Приказ о назначении лица, ответственного за организацию обработки ПДн Должностная инструкция лица, ответственного за организацию обработки персональных данных
Политика в отношении обработки ПДн Издание и опубликование документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
Внутренний контроль соответствия обработки ПДн законодательству План мероприятий внутреннего контроля и (или) аудита соответствия обработки ПДн 152-ФЗ и иным НПА, внутренним документам оператора Документы, подтверждающие проведение мероприятий внутреннего контроля (акты, журналы).
Ознакомление работников с положениями законодательства о ПДн
Обработка персональных данных без использования средств автоматизации (ПП РФ от ) Положение об обработке ПДн без использования средств автоматизации. Документы, подтверждающие информирование лиц о факте обработки ими ПДн, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных законодательством
Типовые формы документов (ПП РФ от ) Проверка соблюдения требований, предъявляемых к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных (инструкции по заполнению, карточки, реестры и журналы).
Журнал учета посетителей (ПП РФ от ) Проверка соблюдения требований при ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор
Материальные носители персональных данных (ПП РФ от ) Документы, определяющие места хранения материальных носителей ПДн. Перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. Раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях.
Сохранность персональных данных Документы, устанавливающие перечень мер, необходимых для обеспечения условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер
Обработка персональных данных работников Наличие локальных документов, регламентирующих порядок и условия обработки ПДн работников. Документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующих порядок и условия обработки его ПДн. Справочная информация об организации хранения личных дел работников. Справочная информация о соблюдении оператором установленных требований при обработке персональных данных уволенных сотрудников.
Исследование ИСПДн Перечень ИС, в которых ведется обработка ПДн. Правила доступа к персональным данным, обрабатываемым в ИСПДн. Местонахождение баз данных, содержащих персональные данные граждан Российской Федерации (блок-схема расположения рабочих мест, договор аренды серверных мощностей и т.д)
Иные документы
Выводы Оформление результатов Оформление результатов проверки Ознакомление оператора с результатами проверки В случае выявления в результате мероприятия по контролю признаков административного правонарушения материалы направляются в прокуратуру Запись в журнале учета проверок о проведенной проверке
Проведены проверки 2015 ГБУЗ ЯО «Областная стоматологическая поликлиника» (2 нарушения) ГУЗ ЯО Станция скорой медицинской помощи (3 нарушения) 2016 ГБУЗ ЯО «Некрасовская ЦРБ» (3 нарушения)
Что на практике? ч. 3 ст ФЗ - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (3 нарушения)
Что на практике? ч. 3 ст ФЗ - отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а так же требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от ФЗ «О персональных данных» (2 нарушения)
Что на практике? ч. 4 ст ФЗ - несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (1 нарушение)
Что на практике? ч. 4 ст ФЗ - несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки (1 нарушение)
Что на практике? ч. 1 ст ФЗ - обработка персональных данных в случаях, непредусмотренных 152-ФЗ (1 нарушение)
Удивительно, но факт Ответственный не знает, что он ответственный Документы подготовленные «задним» числом Документы без подписей и дат Чистосердечное признание, что нет никаких документов по ПДн Абсолютное безразличие руководства к ходу проведения проверки
Ответственность за нарушение законодательства о персональных данных (ст КоАП РФ) по состоянию на : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или штраф: - на граждан – руб.; - на должностных лиц – руб.; - на юридических лиц – – руб.
Ответственность за нарушение законодательства о персональных данных (планируемые изменения) Статья КоАП РФ Увеличение размера штрафа (по некоторым составам на юр.лицо – до руб.) Новые квалифицирующие составы Передать полномочия по возбуждению дел об административных правонарушениях Роскомнадзору С текстом Законопроекта можно ознакомиться на официальном сайте Минэкономразвития: pregulatinginfluence/doc _03. pregulatinginfluence/doc _03
Уведомление об обработке персональных данных Информационное письмо о внесении изменений в сведения в Реестре операторов, осуществляющих обработку персональных данных Ведущий специалист - эксперт отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Зарипова Татьяна Ринатовна
ВЫБРАТЬ ДА или НЕТ
Управление Роскомнадзора по Ярославской области Оператор персональных данных 30 дней с даты получения письма Оператор персональных данных Управление Роскомнадзора по Ярославской области
КОЛИЧЕСТВО СОСТАВЛЕННЫХ ПРОТОКОЛОВ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ В ПЕРИОД С 2014 ПО 2015 г.
Ввести ИНН юридического лица
Раскрыть появившуюся информацию
Проанализировать на соответствие действительности
НАПОЛНЯЕМОСТЬ САЙТА УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ Ведущий специалист - эксперт отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Зарипова Татьяна Ринатовна
Спасибо за внимание! Контактная информация Телефон (4852) г. Ярославль, ул. Кирова, д. 7, каб. 8 (вход с Депутатского переулка)