Требования закона «О персональных данных»: разумная реализация «Функциональная безопасность бизнеса» Надежда Александровская Заместитель генерального директора.

Презентация:



Advertisements
Похожие презентации
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Вологодской области Заместитель руководителя.
Advertisements

1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.
1 «Персональные данные от понятия до защиты» Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Об опыте правоприменительной.
Порядок уведомления Уполномоченного органа об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 года 152-ФЗ «О персональных.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
2012 г. О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Обеспечение безопасности персональных данных НОРМАТИВНАЯ БАЗА И ПРАКТИКА Серженко Дмитрий Иванович заведующий центром информатизации ИМЦ Петродворцового.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных»
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника; СИБИРСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ (Ф) РАНХИГС Выполнили:
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
ОБ ИСПОЛНЕНИИ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДСТАВИТЕЛЬНЫМИ ОРГАНАМИ МЕСТНОГО САМОУПРАВЛЕНИЯ ВОРОНЕЖСКОЙ ОБЛАСТИ Ефремов Алексей.
Транксрипт:

Требования закона «О персональных данных»: разумная реализация «Функциональная безопасность бизнеса» Надежда Александровская Заместитель генерального директора ИНФОФОРУМ-12 Москва, января 2010 г.

Истоки 1. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от EST Федеральный закон от года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных» 3. Федеральный закон от года 152-ФЗ «О персональных данных»

4. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от г Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от г. 687

4 6. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от г Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК, ФСБ, Мининформсвязи России от /86/20 8. Приказ Россвязькомнадзора от г. 8 Об утверждении образца формы уведомления об обработке персональных данных

Права субъектов ПД Обязанности оператора Перед государственным органом Перед субъектом ПД Направить уведомление об обработке персональных данных 1. Предоставить субъекту требуемую информацию информацию 2. Устранить нарушения законодательства, допущенные при обработке ПД, а также по допущенные при обработке ПД, а также по уточнению, блокированию и уничтожению ПД уточнению, блокированию и уничтожению ПД При обработке ПД, принимать необходимые организационные и технические меры для защиты ПД

Государственный надзор и контроль за обработкой ПД Территориальные Управления Россвязькомнадзора Уполномоченные органы ФСБ России Уполномоченные органы ФСТЭК России Система государственного надзора и контроля

7 п. 3, ст. 21 В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности действий с ПД, обязан уничтожить персональные данные. Незамедлительно осуществить блокирование ПД с момента обращения (запроса) СПД или уполномоченного органа по защите прав СПД. п. 3, ст. 21 в срок, не превышающий 3 х рабочих дней с даты такого выявления, обязан устранить допущенные нарушения п. 1, ст. 21 Выявление недостоверных ПД п. 2, ст. 21 У точнить персональные данные и снять их блокирование Подтверждение факта недостоверности ПД Неправомерные действия с ПД

1. Предписание, основание: п.3 ст. 9 ФЗ от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» 2.Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии, основание: п.п. 6 ст. 23 гл. 5 ФЗ от «О персональных данных» 3. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПД основание: п.п. 7 ст. 23 гл. 5 ФЗ от «О персональных данных» УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2

9 Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ (все через суд) 1. Статья 5.39 Кодекса Российской Федерации об правонарушениях административных правонарушениях. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - Наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей

10 Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ Статьи Кодекса Российской Федерации об административных правонарушениях. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - Предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

11 Обязанности по защите прав субъекта ПД Сообщить СПД или его законному представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, В случае отказа в предоставлении субъекту ПД информации о наличии ПД о соответствующем субъекте ПД, оператор обязан дать в письменной форме мотивированный ответ содержащий ссылку на положение части 5 статьи 14 настоящего ФЗ Предоставить возможность ознакомления с ПД либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его законного представителя. при обращении субъекта ПД или его законного представителя п. 1, ст. 20 в срок, не превышающий семи рабочих дней со дня обращения субъекта ПД п. 2, ст. 20

Права Федеральной службы и ее территориальных органов 1. Запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий 2. Осуществлять проверку сведений, содержащихся в уведомлениях об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий 3. Требовать от оператора блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных 4. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ «О персональных данных» 5. Обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъекта персональных данных в суде

13 Права Федеральной службы и ее территориальных органов 6. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятие мер по приостановлению действия или аннулирования соответствующей лицензии 7. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных 8. Вносить через Минкомсвязи России в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных 10. Привлекать к административной ответственности лиц, виновных в нарушении ФЗ «О персональных данных»

14 1.Оператор, обрабатывающий персональные данные, т.е. занесенный в реестр операторов 2.Государственный, муниципальный орган, юридическое или физическое лицо оператор не занесенный в реестр, но обрабатывающий ПД 3. Государственный, муниципальный орган, юридическое или физическое лицо оператор, обрабатывающий ПД, но не требующий занесения в реестр Типы проверяемых организаций по обработке ПД

15 Обязанности при сборе ПД п.1, ст. 18 Предоставить СПД по его просьбе информацию Даннные об операторе п. 2 ст. 18. РАЗЪЯСНИТЬ Субъекту ПД подтверждение факта обработки ПД применяемые способы обработки ПД, перечень обрабатываемых ПД, источник их получения; сведения о лицах, которые имеют доступ к ПД сроки обработки ПД, в том числе сроки их хранения До начала обработки ПРЕДОСТАВИТЬ для СПД п.3, ст. 18. юридические последствия отказа предоставить свои персональные данные Цель обработки ПД и её правовое основание Предполагаемые пользователи ПД Установленные настоящим ФЗ права СПД

Затраты на реализацию по 1 и 2 категории Ст./ 1 раб. место ИЧП (1-2 р.м.) МБ () Ср.Б Кр.ПР. Подача уведомления и регистрация ПДн 1 мес. Лицензирование деятельности по технической защите конфиденциальной информации 3-5 мес. Классификация ПДн 1-3 мес. Разработка частной модели угроз 4-8 мес. Сертификация средств защиты информации 3-6 мес. Аттестация ИСПДн (для системы 1-2 классов) 2-6 мес

Спасибо за внимание!