2012 г. О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств регулируются Федеральным законом от 27 июля 2006 года 152-ФЗ

Контроль и надзор за выполнением требований в сфере ПД Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона 152-ФЗ Федеральная служба безопасности - уполномоченный орган по защите персональных данных в государственных информационных системах в части шифровальных (криптографических) средств защиты информации Федеральная служба по техническому и экспортному контролю – уполномоченный орган по защите персональных данных в государственных информационных системах, за исключением шифровальных (криптографических) средств защиты информации

Основные понятия, используемые в Законе Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Основные понятия, используемые в Законе Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Перечень правовых и нормативно-методических документов по защите персональных данных Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Постановление Правительства Российской Федерации от «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами » Приказ Роскомнадзора от 19 августа 2011 г. 706 "Об утверждении образца формы уведомления об обработке персональных данных" Трудовой кодекс Российской Федерации от 30 декабря 2001 г. 197-ФЗ - Глава 14 «Защита персональных данных работника» Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации» Указ Президента Российской Федерации от «Об утверждении перечня сведений конфиденциального характера» Постановление Правительства Российской Федерации от «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства Российской Федерации от «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Перечень правовых и нормативно-методических документов по защите персональных данных Указ Президента Российской Федерации от 30 мая 2005 г. 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» Федеральный закон от ФЗ «О лицензировании отдельных видов деятельности» Федеральный закон от ФЗ «Кодекс Российской Федерации об административных правонарушениях Указ Президента Российской Федерации от «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена» Постановление Правительства Российской Федерации от «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» Перечень документов на Портале ПД - Перечень документов на сайте Роскомнадзора –

Перечень правовых и нормативно-методических документов по защите персональных данных Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Приказ ФСТЭК России от 5 февраля 2010 г. 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" Постановление Правительства Российской Федерации от «О лицензировании деятельности по технической защите конфиденциальной информации» Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от /54-144) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от /6/6-622) Приказ ФСБ России от «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»

Полномочия Роскомнадзора в сфере ПД Осуществляет государственный надзор и контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Ведет реестр операторов, осуществляющих обработку персональных данных Осуществляет прием граждан и обеспечивает своевременное и полное рассмотрение устных и письменных обращений граждан, принятие по ним решений и направление заявителям ответов в установленный законодательством Российской Федерации срок

Права Службы и территориальных органов регистрировать полученные уведомления об обработке персональных данных и их обработка для принятия решения по утверждению или отклонению; осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде; направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью

Уведомление об обработке персональных данных 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление об обработке персональных данных (образец формы)

Электронная форма уведомления на портале персональных данных

Примерный перечень запрашиваемых документов в ходе проведения проверок учредительные документы (Устав); выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки; копия уведомления об обработке персональных данных или справку о причинах непредставления указанного уведомления; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты персональных данных; приказ о назначении ответственных лиц по работе с персональными данными; должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; типовые формы документов, предполагающие или допускающие содержание персональных данных; письменное согласие субъектов персональных данных на обработку их персональных данных; договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; распечатки электронных шаблонов полей, содержащие персональные данные; приказы об утверждении мест хранения материальных носителей персональных данных;

Примерный перечень запрашиваемых документов в ходе проведения проверок (продолжение) журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных; приказ о создании комиссии и акты проведения классификации ИСПДн (проверяется только наличие данных документов); журналы (книги) учета обращений граждан (субъектов персональных данных); акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки).

Основные нарушения, выявляемые в ходе проведения проверок отсутствие у оператора организационно-распорядительных документов, которые регламентируют весь процесс обработки, хранения, передачи и защиты персональных данных (положение по обработке персональных данных, регламенты, приказы и т.д.); передача персональных данных третьим лицам без получения согласия субъекта персональных данных; обработка персональных данных без согласия субъекта персональных данных; отсутствие в договоре существенного условия об обеспечении конфиденциальности и безопасности персональных данных, невыполнение других условий ч. 3 ст. 6 Закона в случае, когда оператор на основании данного договора поручает обработку персональных данных другому лицу; размещение в СМИ персональных данных субъекта персональных данных; отсутствие у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг; непредставление уведомления об обработке персональных данных в уполномоченный орган (Роскомнадзор); непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных;

Ответственность за невыполнение требований законодательства в сфере ПД Кодекс об административных правонарушениях РФ (КоАП РФ) статьи 13.11, 13.14, 5.39, 19.7 Уголовный Кодекс РФ статьи 137, 140, 272

Информационное обеспечение деятельности Службы и Управления Интернет-портал службы Портал персональных данных Интернет-страница Управления

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Калининградской области (Управление Роскомнадзора по Калининградской области) Спасибо за внимание! , Калининград, ул. Коммунальная 4, Абонементный ящик