КОМПАНИЯ СТЭК « Применение законодательства по защите прав субъектов при обработке персональных данных »
Руководитель учебно - консультационного центра Компании СТЭК, аудитор Руководитель учебно - консультационного центра Компании СТЭК, аудиторФофанова Инна Сергеевна
Федеральный закон Российской Федерации от 27 июля 2006 г ФЗ « О персональных данных » ( в ред. от N 261- ФЗ )
Контроль и надзор за соответствием обработки персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – РОСКОМНАДЗОР
Уполномоченный орган исполнительной власти по обеспечению безопасности – ФСБ России
Уполномоченный орган исполнительной власти в области противодействия техническим разведкам и технической защиты информации - ФСТЭК России
Субъект персональных данных – физическое лицо
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных данных ),
в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Оператор – государственный, муниципальный орган, юридическое или физическое лицо, организующее и ( или ) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных
Ст.7 Конфендициальность ПДн Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Ст.19 Меры по обеспечению безопасности ПДн, при их обработке Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
Обработка персональных данных – действия ( операции ) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение ( обновление, изменение ), использование, распространение ( в том числе передачу ), обезличивание, блокирование, уничтожение персональных данных
Уведомление - ст.22, ч.1 Федерального закона 152- ФЗ «.. оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев предусмотренных частью 2 настоящей статьи »
Сайт Роскомнадзора
Портал по работе с персональными данными
Планы проверок /plan-and-reports/ contoplan/
О действии ФЗ -152 Не распространяется на обработку ПДн для личных и семейных нужд обработку ПДн, подлежащих включению в единый государственный реестр индивидуальных предпринимателей, сведений о физических лицах, обработку госстайны, организацию хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации ( ФЗ -125)
Нормативно правовые акты по защите персональных данных 1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных ( Страсбург, г. с изм. от г.) 2. Федеральный закон от 19 декабря 2005 г ФЗ « О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных » 3. Трудовой кодекс РФ 4. Федеральный закон « О персональных данных » от 27 июля 2006 г ФЗ 5. Федеральный закон « О внесении изменений в Федеральный закон « О персональных данных » по вопросам реализации международных договоров РФ о реадмиссии » от г ФЗ 6. Федеральный закон « О внесении изменений в статьи 19 и 25 Федерального закона « о персональных данных » от г ФЗ 7. Постановление Правительства РФ « Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных » от г Постановление Правительства РФ Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации » от г Совмсетный Приказ ФСЭТК России, ФСБ России, Мининформсвязи России « Порядок проведения классификации информационных систем персональных данных » от г. 55/86/ Приказ Роскомнадзора от N 630 " Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля ( надзора ) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных "
Информационная система персональных данных ( ИСПДн ) – совокупность ПДн содержащихся в базах данных, а также информационных технологиях и технических средств. Информационная система персональных данных ( ИСПДн ) – совокупность ПДн содержащихся в базах данных, а также информационных технологиях и технических средств.
Категории обрабатываемых ПДн Категория 1 ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Категория 2 ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к Категории 1 Категория 3 ПДн, позволяющие идентифицировать субъекта ПДн Категория 4 Обезличенные и ( или ) общедоступные ПДн
Объем обрабатываемых ПДн 1 В ИС одновременно обрабатываются ПДн более чем субъектов ПДн в пределах субъекта РФ или РФ в целом 2 В ИС одновременно обрабатываются ПДн от до субъектов ПДн, работающих в отрасли экономики РФ, в органе гос власти, проживающих в пределах муниципального образования 3 В ИС одновременно обрабатываются данные менее чем субъектов ПДн в пределах конкретной организации
ТИПОВАЯ информационная система Менее чем субъектов ПДн или ПДн субъектов в пределах конкретной организации От до субъекто в ПДн Более чем субъек тов ПДн Обезличенные и (или) общедоступные данные К4 ПДн, позволяющие идентифицировать субъекта ПДн К3 К2 ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию К3К2К1 ПДн, касающиеся расовой, национ. принадлежности, политических взглядов, религ. и философских убеждений, состояния здоровья и личной жизни К1
Совместный Приказ ФСТЭК России, ФСБ России, Мининформсвязи России « Порядок проведения классификации информационных систем персональных данных » 55/86/20 от 13 февраля 2008 г
Постановление Правительства РФ « Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации » 687 от 15 сентября 2008 г
Постановление Правительства РФ « Об утверждении положения об обеспечении безопасности персональных данных при их обработке в ИСПДн » 781 от 17 ноября 2007 г.
Новое в области управления документами и информацией 1.Организационно- распорядительные документы, регламентирующие весь процесс обработки ПДн 1.Организационно- распорядительные документы, регламентирующие весь процесс обработки ПДн 2.Выделение и маркировка документов и информации, содержащих Пдн 2.Выделение и маркировка документов и информации, содержащих Пдн 3.Новый подход к срокам хранения информации 3.Новый подход к срокам хранения информации
Перечень организационно - распорядительных документов Положение о конфиденциальной информации организации Положение о конфиденциальной информации организации Положения и приказы о принятии перечня персональных данных, их обработке и защите Положения и приказы о принятии перечня персональных данных, их обработке и защите Приказ об организации и проведению работ по обеспечению безопасности персональных данных. Приказ об организации и проведению работ по обеспечению безопасности персональных данных. Инструкции ответственных за эксплуатацию информационной системы персональных данных ; Инструкции ответственных за эксплуатацию информационной системы персональных данных ; Инструкции пользователей по работе с персональными данными ; Инструкции пользователей по работе с персональными данными ; Регламент по организации безопасности персональных данных при их обработке в ИСПД Регламент по организации безопасности персональных данных при их обработке в ИСПД
Защита персональных данных Анализ состояния фактической защищённости информационных систем Анализ состояния фактической защищённости информационных систем Анализ на соответствие требованиям регуляторов по безопасности информации Анализ на соответствие требованиям регуляторов по безопасности информации Внутренний анализ информационной безопасности Внутренний анализ информационной безопасности
Ответственность 1. Административная ( ст.5.39, 13.11, 13.14, 19.7 КоАП РФ ; пп. « в » п.6 ст.81, ст.238 ТК РФ ) 1. Административная ( ст.5.39, 13.11, 13.14, 19.7 КоАП РФ ; пп. « в » п.6 ст.81, ст.238 ТК РФ ) 2. Уголовная ( ст , 272 УК РФ ) 2. Уголовная ( ст , 272 УК РФ )
Система автоматизации формирования организационно - распорядительной документации для защиты персональных данных « СТЭК - ЗАЩИТА »
КОМПАНИЯ СТЭК г. Челябинск ул. Энтузиастов 12б (351) г. Челябинск ул. Энтузиастов 14/1 (351)