Практика проведения проверок соблюдения законодательства о персональных данных в отношении учреждений здравоохранения Ярославской области Начальник отдела.

Презентация:



Advertisements
Похожие презентации
Соблюдение требований законодательства о персональных данных органами государственной власти и местного самоуправления по Ярославской области Начальник.
Advertisements

Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Костромской области г. Кострома, микрорайон.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Соблюдение законодательства о персональных данных в страховых компаниях.
ФЗ 142 ОТ ГОДА « О ПЕРСОНАЛЬНЫХ ДАННЫХ » ВЫПОЛНИЛА СТУДЕНТКА 5 КУРСА ГРУППЫ ТО 14/1 ЯРОВАЯ АЛЁНА.
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Салихов Ильдар Амирович Управление Роскомнадзора по Республике Башкортостан Главный специалист-эксперт отдела по защите прав субъектов персональных данных.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Выполнил Студент группы 432 СГП Кузьменко Антон. Нормативные правовые акты, регламентирующие вопросы обработки персональных данных Конвенция Совета Европы.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Васильев Максим Николаевич начальник отдела по защите прав субъектов персональных данных.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Транксрипт:

Практика проведения проверок соблюдения законодательства о персональных данных в отношении учреждений здравоохранения Ярославской области Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Лысова Маргарита Александровна

Как узнать о предстоящей плановой проверке?

Порядок проведения проверки

С чего начинается проверка? УВЕДОМЛЕНИЕ (КОПИЯ ПРИКАЗА)

НАЧАЛО ПРОВЕРКИ 1. Вручение документов, разъяснение 2. Определение полномочий должностного лица, представляющего оператора и участвующего в проверке

Проверка соответствия обработки персональных данных требованиям нормативных правовых актов

Совместное творчество сотрудников оператора оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и иными НПА

Уведомление об обработке персональных данных, Информационные письма о внесении изменений Содержание = фактическая действительность Срок предоставления сведений (10 рабочих дней)

Условия, допускающие обработку персональных данных (ч. 1 ст ФЗ) Федеральные законы и иные НПА (закреплены функции, полномочия, обязанности оператора) Договор с субъектом ПДн Согласие субъекта ПДн (его представителя) Иные

БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

ОШИБКА! Сведения об инвалидности Наличие конкретного заболевания Приметы внешности (родинки, шрамы) НЕ БИОМЕТРИЧЕСКИЕ ПДн

Наличие фактов обработки биометрических ПДн Письменное согласие субъекта ПДн. Сведения, подтверждающие правомерность обработки биометрических ПДн без письменного согласия субъекта в случаях, установленных 152-ФЗ (ч. 2 ст ФЗ).

Специальные категории персональных данных Расовая принадлежность Национальная принадлежность Политические взгляды Религиозные убеждения Философские убеждения Состояние здоровья, интимной жизни Сведения о судимости

Наличие фактов обработки специальных категорий ПДн Письменное согласие субъекта ПДн Сведения, подтверждающие правомерность обработки специальных категорий ПДн в случаях, установленных 152-ФЗ (ч. 2 ст ФЗ)

Трансграничная передача персональных данных - передача данных на территорию иностранных государств

Соблюдение условий трансграничной передачи ПДн Проверка сведений, подтверждающих проведение оператором оценки адекватности защиты прав субъектов ПДн на территории иностранного государства. Наличие письменного согласия субъекта ПДн и иных оснований трансграничной передачи оператором персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту персональных данных.

Согласие на обработку персональных данных 1. необходимо ли получать согласие на обработку персональных данных? 2. необходимо ли получать согласие в письменной форме?

необходимо получать согласие на обработку персональных данных необходимо получать согласие в письменной форме Согласие должно соответствовать требованиям ч. 4 ст ФЗ, если:

Поручение обработки ПДн третьим лицам Согласие субъекта на передачу его ПДн третьему лицу (если иное не предусмотрено федеральным законом). Договор, заключенный с третьим лицом, касающийся поручения на обработку персональных данных (ч. 3 ст. 6 ФЗ «О персональных данных»).

Уничтожение ПДн по достижению цели обработки либо в случае отзыва субъектом согласия на обработку ПДн Локальные акты, устанавливающие порядок и условия уничтожения персональных данных. Акты об уничтожении персональных данных.

Соблюдение конфиденциальности при обработке ПДн Документы и сведения, подтверждающие соблюдение требований конфиденциальности персональных данных при взаимодействии с третьими лицами

Ответственный за организацию обработки ПДн Приказ о назначении лица, ответственного за организацию обработки ПДн Должностная инструкция лица, ответственного за организацию обработки персональных данных

Политика в отношении обработки ПДн Издание и опубликование документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

Внутренний контроль соответствия обработки ПДн законодательству План мероприятий внутреннего контроля и (или) аудита соответствия обработки ПДн 152-ФЗ и иным НПА, внутренним документам оператора Документы, подтверждающие проведение мероприятий внутреннего контроля (акты, журналы).

Ознакомление работников с положениями законодательства о ПДн

Обработка персональных данных без использования средств автоматизации (ПП РФ от ) Положение об обработке ПДн без использования средств автоматизации. Документы, подтверждающие информирование лиц о факте обработки ими ПДн, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных законодательством

Типовые формы документов (ПП РФ от ) Проверка соблюдения требований, предъявляемых к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных (инструкции по заполнению, карточки, реестры и журналы).

Журнал учета посетителей (ПП РФ от ) Проверка соблюдения требований при ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор

Материальные носители персональных данных (ПП РФ от ) Документы, определяющие места хранения материальных носителей ПДн. Перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. Раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях.

Сохранность персональных данных Документы, устанавливающие перечень мер, необходимых для обеспечения условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер

Обработка персональных данных работников Наличие локальных документов, регламентирующих порядок и условия обработки ПДн работников. Документы, подтверждающие факт ознакомления работника с локальными документами, регламентирующих порядок и условия обработки его ПДн. Справочная информация об организации хранения личных дел работников. Справочная информация о соблюдении оператором установленных требований при обработке персональных данных уволенных сотрудников.

Исследование ИСПДн Перечень ИС, в которых ведется обработка ПДн. Правила доступа к персональным данным, обрабатываемым в ИСПДн. Местонахождение баз данных, содержащих персональные данные граждан Российской Федерации (блок-схема расположения рабочих мест, договор аренды серверных мощностей и т.д)

Иные документы

Выводы Оформление результатов Оформление результатов проверки Ознакомление оператора с результатами проверки В случае выявления в результате мероприятия по контролю признаков административного правонарушения материалы направляются в прокуратуру Запись в журнале учета проверок о проведенной проверке

Проведены проверки 2015 ГБУЗ ЯО «Областная стоматологическая поликлиника» (2 нарушения) ГУЗ ЯО Станция скорой медицинской помощи (3 нарушения) 2016 ГБУЗ ЯО «Некрасовская ЦРБ» (3 нарушения)

Что на практике? ч. 3 ст ФЗ - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения (3 нарушения)

Что на практике? ч. 3 ст ФЗ - отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а так же требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от ФЗ «О персональных данных» (2 нарушения)

Что на практике? ч. 4 ст ФЗ - несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации (1 нарушение)

Что на практике? ч. 4 ст ФЗ - несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки (1 нарушение)

Что на практике? ч. 1 ст ФЗ - обработка персональных данных в случаях, непредусмотренных 152-ФЗ (1 нарушение)

Удивительно, но факт Ответственный не знает, что он ответственный Документы подготовленные «задним» числом Документы без подписей и дат Чистосердечное признание, что нет никаких документов по ПДн Абсолютное безразличие руководства к ходу проведения проверки

Ответственность за нарушение законодательства о персональных данных (ст КоАП РФ) по состоянию на : Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или штраф: - на граждан – руб.; - на должностных лиц – руб.; - на юридических лиц – – руб.

Ответственность за нарушение законодательства о персональных данных (планируемые изменения) Статья КоАП РФ Увеличение размера штрафа (по некоторым составам на юр.лицо – до руб.) Новые квалифицирующие составы Передать полномочия по возбуждению дел об административных правонарушениях Роскомнадзору С текстом Законопроекта можно ознакомиться на официальном сайте Минэкономразвития: pregulatinginfluence/doc _03. pregulatinginfluence/doc _03

Уведомление об обработке персональных данных Информационное письмо о внесении изменений в сведения в Реестре операторов, осуществляющих обработку персональных данных Ведущий специалист - эксперт отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Зарипова Татьяна Ринатовна

ВЫБРАТЬ ДА или НЕТ

Управление Роскомнадзора по Ярославской области Оператор персональных данных 30 дней с даты получения письма Оператор персональных данных Управление Роскомнадзора по Ярославской области

КОЛИЧЕСТВО СОСТАВЛЕННЫХ ПРОТОКОЛОВ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ В ПЕРИОД С 2014 ПО 2015 г.

Ввести ИНН юридического лица

Раскрыть появившуюся информацию

Проанализировать на соответствие действительности

НАПОЛНЯЕМОСТЬ САЙТА УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ Ведущий специалист - эксперт отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ярославской области Зарипова Татьяна Ринатовна

Спасибо за внимание! Контактная информация Телефон (4852) г. Ярославль, ул. Кирова, д. 7, каб. 8 (вход с Депутатского переулка)