Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.

Презентация:



Advertisements
Похожие презентации
Реализация организационных мер защиты персональных данных в соответствии с требованиями законодательства о персональных данных.
Advertisements

Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Костромской области г. Кострома, микрорайон.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Порядок уведомления Уполномоченного органа об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 года 152-ФЗ «О персональных.
Уровни правового регулирования Международные акты Федеральные законы Указы президента, Постановления правительства РФ Акты уполномоченных федеральных органов.
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Транксрипт:

Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и защиту персональных данных в компании.

2 Законодательные основы проведения проверки Роскомнадзора Правовыми основаниями проверки являются: Трудовой кодекс РФ (Глава 14); Федеральный закон от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; Федеральный закон от ФЗ «О персональных данных»; Постановление Правительства РФ от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства РФ от «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России, ФСБ России, Минсвязи России 55/86/20 от «Об утверждении порядка проведения классификации информационных системах персональных данных».

3 Законодательные основы проведения проверки Роскомнадзора Федеральный закон от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В исключительных случаях может быть пролонгирован еще на 20 рабочих дней. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах. Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от ). Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.

4 Основные мероприятия Оператора ПД К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся: Анализ персональных данных, обрабатываемых Оператором. Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных. Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового. Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).

5 Основные мероприятия Оператора ПД Проверка обработки ПД без использования средств автоматизации. Положение об обработке ПД без использования средств автоматизации должно предусматривать: перечень обрабатываемых ПД; отдельные материальные носители для каждой категории ПД; ознакомление с ним сотрудников Оператора; порядок уничтожения или обезличивания ПД; организацию раздельного хранения ПД различных категорий; при необходимости правила ведения журнала для пропуска субъекта ПД на территорию Оператора.

6 Основные мероприятия Оператора ПД Проверка соблюдения требований при обработке ПД работников Оператора. Положение об обработке ПД работников должно включать в себя: перечень обрабатываемых ПД работников; необходимость ознакомления с ним работников Оператора; перечень случаев получения письменного согласия от работника; порядок хранения и использования ПД работника; соблюдение требований при передаче ПД работника.

7 Основные мероприятия Оператора ПД Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя: утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД; наличие перечня лиц, имеющих допуск в помещение; наличие и порядок обмена ПД при их обработке в ИСПДн; включение в договор условия о конфиденциальности ПД; наличие электронного журнала обращений на получение ПД; наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.

8 Основные мероприятия Оператора ПД Проверка наличия трансграничной передачи ПД. В случае ее осуществления принимаются следующие меры: Выявляются иностранные государства, на территорию которых передаются ПД; Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы: - письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.

9 Основные мероприятия Оператора ПД Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя: выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).

10 Основные мероприятия Оператора ПД Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя: перечень документов и их сроки хранения; порядок уничтожения документов; утвержденный состав органа, в полномочия которого входит уничтожение документов.

11 Примерный перечень документов, касающихся обработки ПД К документам, регулирующим или касающимся обработки персональных данных относятся: -Положение об обработке ПД работников; -Положение о неавтоматизированной обработке ПД; -Утвержденный перечень лиц, обрабатывающих ПД; -Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку; -Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;

12 Примерный перечень документов, касающихся обработки ПД -Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении; -Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД; -Положение о порядке работы с документами, содержащими конфиденциальную информацию; -Журнал для пропуска субъекта ПД на территорию Компании; -Акт классификации информационных систем ПД (ИСПДн); -Приказ о назначении комиссии по классификации ИСПДн; -Перечень технических средств, участвующих в обработке ПД.

13 ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовила: Долганова Наталья Станиславовна старший юрисконсульт ООО «Управляющая компания «КапиталЪ» (495) (доб. 2422) am.ru