1 «Персональные данные от понятия до защиты» Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Хабаровскому краю и ЕАО Аникина Елена Сергеевна
2 Перечень основных нормативных правовых актов 1. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от EST Федеральный закон от года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных» 3. Федеральный закон от года 152-ФЗ «О персональных данных»
3 Перечень основных нормативных правовых актов 4. Федеральный закон от г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» 5. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от г Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от г. 687
4 Перечень основных нормативных правовых актов (продолжение) 7. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от г Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК, ФСБ, Мининформсвязи России от /86/20
5 9. Приказ Роскомнадзора от г. 18 «Об утверждении Административного регламента Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» 10. Приказ от 19 августа 2011 г. N 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» Перечень основных нормативных правовых актов (продолжение)
6 11. Приказ Роскомнадзора от г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»
7 Основные понятия Персональные данные Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т. ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация) Оператор Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; (государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД)
8 Основные понятия (продолжение) Обработка ПД Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; (действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение ПД)
9 Основные понятия (продолжение) Принципы обработки ПД Законности целей и способов обработки ПД и добросовестности Соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора Соответствия объема и характера обрабатываемых ПД, способов обработки ПД данных целям обработки ПД Достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПД
10 Субъекты надзора Объекты надзора Государственный орган Персональные данные Субъекты и объекты государственного надзора (контроля) в области персональных данных Муниципальный орган Юридическое лицо Физическое лицо Специальные ПД Фамилия, имя, отчество Год, месяц, дата рождения и т.д Расовая принадлежность, национальная принадлежность, политические взгляды и т.д. Основные ПД Биометрические ПД Сведения, которые характеризуют физиологические особенности человека
11 Государственный надзор и контроль за обработкой ПД Территориальные Управления Роскомнадзора Уполномоченные органы ФСБ России Уполномоченные органы ФСТЭК России Система государственного надзора и контроля
12 Функции и задачи Роскомнадзора Функции Рассмотрение обращений субъектов персональных данных Государственный надзор и контроль за обработкой персональных данных Обеспечение контроля и надзора за соответствием обработки ПД требованиям ФЗ подготовка ежегодных отчетов по результатам осуществления контроля и надзора перед Президентом РФ, Правительством РФ и Федеральным Собранием Российской Федерации. Рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимать соответствующее решение Задачи Ведение реестра операторов Ведение реестра операторов, осуществляющих обработку персональных данных; проверка сведений содержащихся в уведомлении об обработке персональных данных
13 Функции и задачи Роскомнадзора (продолжение) Функции Совершенствование нормативного правового регулирования защиты прав субъектов ПД Защита прав субъектов ПД Обращение в суд с исковым заявлением в защиту прав субъектов персональных данных и представление их интересов в суде Внесение через Минкомсвязи России в Правительство Российской Федерации предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных Задачи
14 Права Федеральной службы и её территориальных органов 1. Запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий 2. Осуществлять проверку сведений, содержащихся в уведомлениях об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий 3. Требовать от оператора блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных 4. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ «О персональных данных» 5. Обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъекта персональных данных в суде
15 6. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятие мер по приостановлению действия или аннулирования соответствующей лицензии 7. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении административных и уголовных дел по признакам правонарушений / преступлений, связанных с нарушением прав субъектов персональных данных 8. Вносить через Минкомсвязи России в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных 10. Привлекать к административной ответственности лиц, виновных в нарушении ФЗ «О персональных данных» Права Федеральной службы и её территориальных органов
16 1. Организовывать в соответствии с требованиями ФЗ «О персональных данных» защиту прав субъектов персональных данных 2. Рассматривать жалобы и обращения граждан и юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и заявлений 3. Вести реестр операторов 4. Осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных Обязанности Федеральной службы и её территориальных органов
17 5. Принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных 6. Информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных 7. Выполнять иные, предусмотренные законодательством Российской Федерации, обязанности Обязанности Федеральной службы и её территориальных органов
18 1. Плановая проверка (выездная) уведомление; приказ (приложение список запрашиваемых документов); удостоверения государственных инспекторов 2. Внеплановая проверка (выездная / документарная) Основания: Исполнение предписания, жалоба, поступившая информация Документы как и при плановой проверки Типы проверок и состав документов
19 1.Оператор, обрабатывающий персональные данные, т.е. занесенный в реестр операторов 2.Государственный, муниципальный орган, юридическое или физическое лицо оператор не занесенный в реестр, но обрабатывающий ПД 3. Государственный, муниципальный орган, юридическое или физическое лицо оператор, обрабатывающий ПД, но не требующий занесения в реестр Типы проверяемых организаций по обработке ПД
20 I.Оператор, обрабатывающий ПД 1.Наличие уведомления об обработке ПД (ст. 22 ФЗ «О ПД») 2. Проверка содержания уведомления (ст. 22 ФЗ «О ПД»), (представленных в уведомлении и реально реализованных) К ним относятся: - наименование (Ф.И.О.- физ. лицо), адрес оператора - цель обработки ПД; - категории ПД (общие, специальные, биометрические) - категории субъектов, персональные данные которых обрабатываются - правовое основание обработки ПД Проверяемые вопросы
21 I.Оператор, обрабатывающий ПД - перечень действий с персональными данными, общее описание используемых оператором способов обработки ПД - описание мер, которые оператор обязуется осуществлять при обработке ПД по обеспечению безопасности ПД при их обработке; - дата начала обработки ПД - срок или условие прекращения обработки ПД 3. Если выявлено несоответствие заявленных и реальных сведений, то проверяется направлялось ли уведомление о внесении изменений в него (ч.7 ст.22 ФЗ «О ПД») 4. Наличие договоров, заключенных между оператором и субъектом ПД, в котором подтверждается согласие субъекта ПД на их обработку (ч.2, ст.6) Проверяемые вопросы (продолжение)
22 I.Оператор, обрабатывающий ПД 5. Проверка выполнения оператором требований по защите информации при обработке ПД в информационных системах (организационных, технических, шифровальных): 5.1 наличие модели угроз безопасности ПД (п.16 приказа ФСТЭК, ФСБ, Мининформсвязи России от /86/20) 5.2 наличие приказа о составе комиссии по классификации информационных систем ПД (п.18 приказа ФСТЭК, ФСБ, Мининформсвязи России от /86/20) 5.3 наличие акта оператора о классификации информационных систем ПД (приказ ФСТЭК, ФСБ, Мининформсвязи России от /86/20) 5.4 наличие перечня технических средств, участвующих в обработке ПД и их учет ( п.1 ППРФ от ) Проверяемые вопросы (продолжение)
23 I.Оператор, обрабатывающий ПД 5.5 исключения несанкционированного, в том числе случайного, доступа к ПД ( п.1 ППРФ от ) наличие помещения, выделенного для обработки ПД (наименование, номер) наличие перечня лиц имеющих допуск в помещение наличие приказа о назначение сотрудников ответственных за обработку ПД либо имеющих к ним доступ (п.13 ППРФ от ) 5.6 электронный журнал обращений на получение ПД ( п.15 ППРФ от ) 6. Проверка обработки ПД без использования средств автоматизации: 6.1 Наличие Правил обработки ПД, осуществляемых без средств автоматизации (п.3 ППРФ от ) 6.2 Наличие отдельных материальных носителей для каждой категории ПД (п.5 ППРФ от ) Проверяемые вопросы (продолжение)
24 I.Оператор, обрабатывающий ПД 6.3 Наличие типовых форм, в которых предполагается или допускается включение в них ПД (п.7 ППРФ от ) 6.4 Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПД на территорию оператора (п.8 ППРФ от ) 6.5 Организация раздельного хранения категорий ПД (п.14 ППРФ от ) 6.6 Информирование сотрудников, обрабатывающих ПД о Правилах их обработки (п.6 ППРФ от ) 7. Распечатка шаблона содержания ПД (формы и полей заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку Проверяемые вопросы (продолжение)
25 II. Государственный, муниципальный орган, юридическое или физическое лицо операторы не занесенные в реестр, но обрабатывающие ПД Источники получения сведений об обработке ПД 1. Персональные данные, обрабатываемые в кадровом органе 2. Наличие ПД при заключении договоров с абонентами (клиентами, заемщиками и т.п.), в том числе в интересах своих сотрудников, а также заключения договоров с организациями на оказание услуг ее сотрудникам 3. Передача ПД другим юридическим или физическим лицам 4. Наличие обработки ПД при рассмотрении жалоб, заявлений, обращений граждан 5. Наличие обработки ПД, в том числе биометрических ПД (фото на пропуск), при организации пропускного режима 6. Наличие обработки ПД при приеме граждан руководством Проверяемые вопросы
26 II. Государственный, муниципальный орган, юридическое или физическое лицо не операторы, но обрабатывающие ПД Источники получения сведений об обработке ПД 7. Наличие обработки ПД при трансграничной передаче, в том числе при командировках сотрудников за рубеж 8. Наличие обработки ПД при выезде сотрудников в заграничные командировки 9. Наличие обработки ПД при медицинском освидетельствовании сотрудников (школьников и т.п.) (медицинские карты) 10. Наличие обработки биометрических персональных данных (фото на пропуск) Проверяемые вопросы (продолжение)
27 III. Государственный, муниципальный орган, юридическое или физическое лицо оператор, обрабатывающий ПД, но не требующий занесения в реестр Проверка обработки ПД без использования средств автоматизации 1. Наличие Правил обработки ПД, осуществляемых без средств автоматизации (п.3 ППРФ от ) 2. Наличие отдельных материальных носителей для каждой категории ПД (п.5 ППРФ от ) 3 Наличие типовых форм, в которых предполагается или допускается включение в них ПД (п.7 ППРФ от ) 4. Наличие и ведение журнала (реестра, книги) для пропуска субъекта ПД на территорию оператора (п.8 ППРФ от ) Проверяемые вопросы
28 III. Государственный, муниципальный орган, юридическое или физическое лицо оператор, обрабатывающий ПД, но не требующий занесения в реестр Проверка обработки ПД без использования средств автоматизации 5. Организация раздельного хранения категорий ПД (п.14 ППРФ от ) 6. Информирование сотрудников, обрабатывающих ПД о Правилах их обработки (п.6 ППРФ от ) Проверяемые вопросы
29 1. Предписание, основание: п.1 ч.1 ст. 17 ФЗ от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора) и муниципального контроля» 2.Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии, основание: п.п. 6 ст. 23 гл. 5 ФЗ от «О персональных данных» 3. Направлять в органы прокуратуры и правоохранительные органы материалы для решения вопроса о возбуждении уголовных и административных дел по признакам правонарушений (преступлений), связанных с нарушением прав субъектов ПД основание: п.п. 7 ст. 23 гл. 5 ФЗ от «О персональных данных» УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2 Принимаемые меры
30 4. Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ (всё через суд) 1. Статья 5.39 Кодекса Российской Федерации об правонарушениях административных правонарушениях. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - Наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей Принимаемые меры
31 4. Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ 2. Статьи Кодекса Российской Федерации об административных правонарушениях. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - Предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Принимаемые меры
32 4. Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ 3. Статья Кодекса Российской Федерации об административных правонарушениях. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи настоящего Кодекса, - Наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей. Принимаемые меры
33 Электронную форму уведомления об обработке персональных данных можно заполнить на портале персональных данных в Интернете Тел.:8 (4212) ; Адрес: г. Хабаровск, ул. Ленина, 4
34 Спасибо за внимание