ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ и ЖУРНАЛ «КАДРОВОЕ ДЕЛО» 17 января 2012 года Вебинар «Защита персональных данных в трудовых отношениях» 17 января 2012 года Вебинар «Защита персональных данных в трудовых отношениях»
Вебинар «Защита персональных данных в трудовых отношениях» Заместитель начальника управления – начальник отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Забудько Юлия Сергеевна Заместитель начальника управления – начальник отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Забудько Юлия Сергеевна Автор и ведущая: Забудько Юлия Сергеевна заместитель начальника управления – начальник отдела правового и методического обеспечения Управления по защите прав субъектов персональных данных Роскомнадзора 2
Основные международные Основные международные нормативные правовые акты нормативные правовые акты Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 и Дополнительный протоколк ней ETS 181 Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 и Дополнительный протокол к ней ETS 181 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 и Дополнительный протоколк ней ETS 181 Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28 января 1981 г. EST 108 и Дополнительный протокол к ней ETS 181 Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе 3
Основные нормативные правовые акты Российской Федерации в области защиты персональных данных Основные нормативные правовые акты Российской Федерации в области защиты персональных данных Конституция Российской ФедерацииКонституция Российской Федерации от 12 декабря 1993 г. Федеральный закономот 19 декабря 2005 г. 160-ФЗФедеральный законом от 19 декабря 2005 г. 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 г. 149-ФЗ 149-ФЗ «Об информации, информационных технологиях и о защите информации» Указ Президента Российской Федерации от 6 марта 1997 г марта 1997 г. 188 «Об утверждении перечня сведений конфиденциального характера» 4
В июле 2011 года в Федеральный закон «О персональных данных» внесены изменения, которые коснулись сферы действия Федерального закона, используемых в нем основных понятий, принципов и условий обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Федеральным законом разделяется порядок трансграничной передачи персональных данных иностранным государствам, являющимся и не являющимся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Перечень иностранных государств, не являющихся сторонами указанной Конвенции и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждается уполномоченным органом по защите прав субъектов персональных данных. Нормативные правовые акты Нормативные правовые акты 5 Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных»
Федеральным законом «О персональных данных» существенное внимание уделяется мерам по обеспечению безопасности персональных данных при их обработке. Федеральным законом определяется перечень таких мер, а также предусматривается, что уровни защищённости персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются Правительством Российской Федерации. ___________________________________ В настоящее время согласован перечень проектов нормативных актов, необходимых для реализации Федерального закона. Федеральным законом «О персональных данных» существенное внимание уделяется мерам по обеспечению безопасности персональных данных при их обработке. Федеральным законом определяется перечень таких мер, а также предусматривается, что уровни защищённости персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются Правительством Российской Федерации. ___________________________________ В настоящее время согласован перечень проектов нормативных актов, необходимых для реализации Федерального закона. 6 Нормативные правовые акты Нормативные правовые акты
Нормативные правовые акты Постановление Правительства РФ от 17 ноября 2007 г. 781 Постановление Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 6 июля 2008 г. 512 Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. 687 Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 7
Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 13 декабря 2011 г ) Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 13 декабря 2011 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) В настоящее время указанные Административные регламенты доработаны с учетом изменений действующего законодательства Российской Федерации и последний находится на государственной регистрации в Минюсте России 8 Нормативные правовые акты Роскомнадзора Нормативные правовые акты Роскомнадзора
Отдел ведения реестра операторов, осуществляющих обработку персональных данны х Отдел организации контроля и надзора за соответствием обработки персональных данных Отдел правового и методического обеспечения 75 территориальных органов Роскомнадзора Общая численность сотрудников – 250 человек Руководитель Роскомнадзора Организационная структура уполномоченного Организационная структура уполномоченного органа по защите прав субъектов органа по защите прав субъектов персональных данных персональных данныхЗаместитель руководителя Роскомнадзора Заместитель Управление по защите прав субъектов персональных данных Управление по защите прав субъектов персональных данных 9
Государственный контроль и надзор за обработкой персональных данных за обработкой персональных данных Рассмотрение жалоб и обращений субъектов персональных данных Ведение реестра операторов Уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации 10
Обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представление их интересов в суде Выработка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных Международное сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах (утверждение перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных Направление Отчета о деятельности Уполномоченного органа Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации Уполномоченный орган по защите прав субъектов персональных данных по защите прав субъектов персональных данных в Российской Федерации 11
Уведомление о намерении осуществлять обработку (об осуществлении обработки) персональных данных Оператор освобождается от обязанности направить Уведомление при обработке персональных данных: обрабатываемых в соответствии с трудовым законодательством; полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; сделанных субъектом персональных данных общедоступными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации; включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем; обрабатываемых без использования средств автоматизации с соблюдением требований к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. 12
Уведомление о намерении осуществлять обработку (об осуществлении обработки) персональных данных Уведомление оформляется В виде документа на бумажном носителе, подписывается уполномоченным лицом В виде электронного документа посредством заполнения соответствующей формы на Портале персональные данные ( направляется в соответствующее территориальное управление Роскомнадзора по месту регистрации юридического лица. ( «Отправить электронное уведомление и подготовить форму к распечатке» После заполнения формы Уведомления, необходимо нажать кнопку «Отправить электронное уведомление и подготовить форму к распечатке» ЕИС Роскомнадзора Электронный документ «уходит» непосредственно в ЕИС Роскомнадзора, а также преобразуется в форму, которую нужно распечатать на фирменном бланке. После чего необходимо подписать бумажный вариант руководителем организации, поставить печать и отправить в территориальное управление Роскомнадзора. 13
Уведомление о намерении осуществлять обработку (об осуществлении обработки) персональных данных наименование (фамилия, имя, отчество), адрес оператора; цель обработки персональных данных; категории персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных» в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; ФИО ФЛ или наименование ЮЛ, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; дата начала обработки персональных данных; срок или условие прекращения обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных. Уведомление должно содержать следующие сведения: 14
Ошибки, допускаемые при заполнении уведомления о намерении осуществлять обработку (об осуществлении обработки) персональных данных Отражение неполных или недостоверных сведений Неверное указание категорий обрабатываемых персональных данных При указании перечня действий с персональными данными, в том числе способа обработки персональных Неверное определение даты начала и срока или условия окончания обработки персональных данных 15
В настоящее время в Реестр включено более 225 тыс. операторов, осуществляющих обработку персональных данных, из них: Деятельность Уполномоченного органа по ведению Реестра операторов 16
Внесение изменений и основания исключения сведений об Операторе из Реестра операторов В случае изменения сведений, указанных в Уведомлении, десяти даты прекращения а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. 17 Основания исключения сведений об Операторе из Реестра операторов: прекращение деятельности по обработке персональных данных (ликвидация, реорганизация, истечение срока обработки или наступление условия окончания обработки персональных данных); заявление Оператора об исключении его из Реестра, с указанием причины и приложением соответствующих копий документов (при необходимости).
Основания и виды проводимых Роскомнадзором проверок ПРОВЕРКИ соответствия деятельности Операторов требованиям законодательства Российской Федерации в области персональных данных. ПлановыеВнеплановые На основании ежегодного Плана проведения плановых проверок : Осуществление Оператором деятельности по обработке ПД Истечение трех лет со дня: - государственной регистрации Оператора в качестве ЮЛ, ИП; - окончания проведения последней плановой проверки Оператора. Истечение срока исполнения Оператором ранее выданного предписания. Поступление в Роскомнадзор обращений граждан, ЮЛ, ИП, информации от ФОИВ, ОМС, из СМИ информации, в том числе о следующих фактах: - возникновение угрозы причинения вреда жизни, здоровью граждан; - причинение вреда жизни, здоровью граждан. Поручение Президента РФ, Правительства РФ. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных. Нарушение Операторами требований законодательства Российской Федерации в области ПД, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности. 18
19 В отношении операторов, осуществляющих обработку персональных данных, проведено – 3240 проверок, по результатам которых выдано – 4410 предписаний, составлено – 7205 АП. Совместно с правоохранительными органами проводятся мероприятия по пресечению фактов незаконной реализации в розничной сети баз данных, содержащих персональные данные субъектов. Изъято свыше 200 физических носителей, содержащих 17 баз данных, включающих сведения о частной и личной жизни граждан. Основные итоги контроля (надзора) за соответствием требований Российской Федерации в области персональных данных
Основные итоги рассмотрения жалоб и обращений Основные итоги рассмотрения жалоб и обращений граждан и юридических лиц по вопросам, связанным с обработкой персональных данных граждан и юридических лиц по вопросам, связанным с обработкой персональных данных 20 В судебном порядке прекращена деятельность 22 интернет-ресурсов, допускавших незаконное распространение персональных данных
21 несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности. несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности. Типичными являются следующие нарушения: непринятие мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ; непринятие мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ; осуществление обработки персональных данных без согласия субъектов персональных данных; осуществление обработки персональных данных без согласия субъектов персональных данных;
ст КоАП РФ – отказ в предоставлении гражданину документов и материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо предоставление гражданину неполной или заведомо недостоверной информации (3 тыс. рублей); ст КоАП РФ – нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных (10 тыс. рублей); ст КоАП РФ – разглашение информации доступ к которой ограничен федеральным законом (5 тысяч рублей); ст КоАП РФ – непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа (5 тыс. рублей). (Кодексом Российской Федерации об административных правонарушениях предусмотрены четыре состава административных проступков: ст. ст. 5.39, 13.11, и 19.7 с максимальной санкцией в виде штрафа до 10 тысяч рублей) 22 Административная ответственность за нарушение требований ФЗ «О персональных данных»
23 Уголовная ответственность за нарушение требований ФЗ «О персональных данных» ст. 137 УК РФ – незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении; ст. 140 УК РФ – неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации; ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. (Уголовным кодексом Российской Федерации установлены три состава преступлений: ст.ст. 137, 140 и 272 с максимальной санкцией в виде лишения свободы на срок до 5 лет).
24
Благодарю за внимание! Дополнительные вопросы можно задать по адресу: