Защита персональных данных ГУ «РЦМКО» Зам.директора Дяковеций А.М.
Законодательные акты 1. Конституция РФ 2. Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ 3. Федеральный закон «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 160-ФЗ 4. Конвенция совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года 5. Федеральный закон 152-ФЗ «О персональных данных» 6. Трудовой кодекс Российской Федерации 7. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление Правительства РФ от N 687)
Федеральный закон 149 определяет понятийный аппарат в информационной сфере Законом уточнён понятийный аппарат, в том числе введены (уточнены) определения понятий «информационная система», «информационно -телекоммуникационная сеть», «электронное сообщение», «конфиденциальность информации», «обладатель информации», «оператор информационной системы» и др.Уточнены правовые положения регулирования отношений в сфере информации, информационных технологий и защиты информации, в частности Закон определяет: порядок установление ограничений доступа к информации только на основании федеральных законов; требования к открытости информации о деятельности государственных органов и органов местного самоуправления и обеспечении свободный доступ к такой информации, кроме случаев, установленных федеральными законами; обеспечение достоверность информации и своевременность её предоставления и недопустимости установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами; требования к государственным информационным системам.
«Обладатель информации» и «оператор информационной системы», как субъекты правовых отношений в информационной сфере Закон ввел в использование два понятия субъектов правовых отношений: «обладатель информации» - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; «оператор информационной системы» - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Конвенция Совета Европы Устанавливает общие требования по защите персональных данных при автоматизированной (автоматической) обработке персональных данных. Устанавливает общие требования по защите персональных данных при неавтоматизированной (неавтоматической) обработке персональных данных, если характер обработки соответствует автоматизированной (автоматической) обработке.
ФЕДЕРАЛЬНЫЙ ЗАКОН 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Основные причины разработки и принятия Федерального закона 152-ФЗ «О персональных данных» В качестве основных причин разработки и принятия Федерального закона 152 «О персональных данных» можно отметить: необходимость исполнения Российской Федерацией обязательств по учёту положений международных договоров, общепринятых международных норм и принципов, в том числе содержащихся в Конвенции Совета Европы «Об информации персонального характера», а также в Директиве Европейского Парламента и Совета Европы 95/46/ЕС от 24 октября 1995 года «О защите личности в отношении обработки персональных данных и свободном обращении этих данных»; создание гарантий и правовых механизмов защиты гражданами своих прав на личную тайну и неприкосновенность частной жизни при сборе, обработке и использовании персональных данных, а также создание необходимых условий для использования персональных данных в случаях и в порядке, предусмотренных законом.
Основные понятия и определения Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом
Основные понятия и определения Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Основные понятия и определения Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Основные принципы обработки персональных данных 1. Законность целей и способов обработки персональных данных и принципа добросовестности. 2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. 3. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. 4. Принципа достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. 5. Принципа недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных (ИСПДн)
Основные условия обработки персональных данных Условие 1. Оператор до начала обработки персональных данных обязан письменно уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев в п.2 статьи 22 Федерального закона «О персональных данных». Уполномоченный орган по защите прав субъектов персональных данных -Федеральная служба по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор).
п.2 ст. 22. Обработка без уведомления полномочного органа 1. Обработка персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. 2. Обработка персональных данных, необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях. 3. Обработка персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. 4. Обработка персональных данных, относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных. 5. …
п.2 ст. 22. Обработка без уведомления полномочного органа 5. Обработка персональных данных, являющихся общедоступными персональными данными. 6. Обработка персональных данных, включающих в себя только фамилии, имена и отчества субъектов персональных данных. 7. Обработка персональных данных, включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка. 8. Обработка персональных данных, обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Основные условия обработки персональных данных Условие 2. Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных, за исключением случаев явно указанных в п.2 статьи 6 Федерального закона «О персональных данных». п.2 ст. 22. Обработка персональных данных без согласия субъекта 1. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. 2. Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. 3. Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных. 4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. 5. Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
Получение согласие субъекта Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 статьи 9 Федерального закона «О персональных данных». Согласие на обработку персональных данных может быть отозвано субъектом персональных данных, если иное не предусмотрено договором. Федеральным законом «О персональных данных» и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих ПДн в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн, а в случае обработки общедоступных ПДн обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на оператора.
Состав согласия субъекта ПДн на обработку своих ПДн Согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва.
Право на доступ к своим персональным данным Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими ПДн, за исключением случаев, предусмотренных частью 5 статьи 14 Федерального закона «О персональных данных».
Ограничение прав субъекта на доступ к своим ПДн Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если: 1. обработка персональных данных, в том числе ПДн, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка. 2. обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн. 3. предоставление ПДн нарушает конституционные права и свободы других лиц. 44
Обязанности оператора при сборе ПДн При сборе ПДн оператор обязан предоставить субъекту ПДн по его просьбе информацию: подтверждение факта обработки ПДн оператором, а также цель такой обработки; способы обработки ПДн, применяемые оператором; сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ; перечень обрабатываемых ПДн и источник их получения; сроки обработки ПДн, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить свои персональные данные.
Обязанности оператора при обработке ПДн Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий. Правительство РФ устанавливает требования к обеспечению безопасности ПДн при их обработке в ИМПДн, требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн. Контроль и надзор за выполнением требований, установленных Правительством РФ к обеспечению безопасности ПДн при их обработке в ИСПДн, требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн, осуществляются ФСБ России и ФСТЭК России, в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн.
Обязанности оператора в случае достижения цели обработки ПДн В случае достижения цели обработки ПДн оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены Россвязькомнадзором, -также указанный орган. Обязанности оператора в случае отзыва субъектом ПДн согласия на обработку своих персональных данных В случае отзыва субъектом ПДн согласия на обработку своих ПДн оператор обязан прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении ПДн оператор обязан уведомить субъекта ПДн.
Ответственность за нарушения требований закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Трудовой кодекс Персональные данные работника информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Трудовой кодекс. Общие требования по защите персональных данных работника Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом, Федеральным законом «О персональных данных» и иными федеральными законами. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Трудовой кодекс. Общие требования по защите персональных данных работника Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Трудовой кодекс. Общие требования по защите персональных данных работника Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом, Федеральным законом «О персональных данных» и иными федеральными законами. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса, Федерального закона «О персональных данных» и иных федеральных законов.
Трудовой кодекс. Ответственность работодателя при работе с ПДн Общие обязательства работодателя по обеспечению безопасности ПДн Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом и иными федеральными законами. Работодатель обязан осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись. Работодатель обязан разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ МИНИСТЕРСТВО ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 13 февраля 2008 года N 55/86/20 Об утверждении Порядка проведения классификации информационных систем персональных данных
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов: класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Спасибо за внимание ! ГУ РЦМКО 2010