Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и защиту персональных данных в компании.
2 Законодательные основы проведения проверки Роскомнадзора Правовыми основаниями проверки являются: Трудовой кодекс РФ (Глава 14); Федеральный закон от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; Федеральный закон от ФЗ «О персональных данных»; Постановление Правительства РФ от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства РФ от «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России, ФСБ России, Минсвязи России 55/86/20 от «Об утверждении порядка проведения классификации информационных системах персональных данных».
3 Законодательные основы проведения проверки Роскомнадзора Федеральный закон от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В исключительных случаях может быть пролонгирован еще на 20 рабочих дней. Акт проверки оформляется непосредственно после ее завершения в двух экземплярах. Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от ). Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.
4 Основные мероприятия Оператора ПД К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся: Анализ персональных данных, обрабатываемых Оператором. Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных. Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового. Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).
5 Основные мероприятия Оператора ПД Проверка обработки ПД без использования средств автоматизации. Положение об обработке ПД без использования средств автоматизации должно предусматривать: перечень обрабатываемых ПД; отдельные материальные носители для каждой категории ПД; ознакомление с ним сотрудников Оператора; порядок уничтожения или обезличивания ПД; организацию раздельного хранения ПД различных категорий; при необходимости правила ведения журнала для пропуска субъекта ПД на территорию Оператора.
6 Основные мероприятия Оператора ПД Проверка соблюдения требований при обработке ПД работников Оператора. Положение об обработке ПД работников должно включать в себя: перечень обрабатываемых ПД работников; необходимость ознакомления с ним работников Оператора; перечень случаев получения письменного согласия от работника; порядок хранения и использования ПД работника; соблюдение требований при передаче ПД работника.
7 Основные мероприятия Оператора ПД Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя: утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД; наличие перечня лиц, имеющих допуск в помещение; наличие и порядок обмена ПД при их обработке в ИСПДн; включение в договор условия о конфиденциальности ПД; наличие электронного журнала обращений на получение ПД; наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.
8 Основные мероприятия Оператора ПД Проверка наличия трансграничной передачи ПД. В случае ее осуществления принимаются следующие меры: Выявляются иностранные государства, на территорию которых передаются ПД; Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы: - письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.
9 Основные мероприятия Оператора ПД Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя: выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).
10 Основные мероприятия Оператора ПД Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя: перечень документов и их сроки хранения; порядок уничтожения документов; утвержденный состав органа, в полномочия которого входит уничтожение документов.
11 Примерный перечень документов, касающихся обработки ПД К документам, регулирующим или касающимся обработки персональных данных относятся: -Положение об обработке ПД работников; -Положение о неавтоматизированной обработке ПД; -Утвержденный перечень лиц, обрабатывающих ПД; -Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку; -Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;
12 Примерный перечень документов, касающихся обработки ПД -Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении; -Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД; -Положение о порядке работы с документами, содержащими конфиденциальную информацию; -Журнал для пропуска субъекта ПД на территорию Компании; -Акт классификации информационных систем ПД (ИСПДн); -Приказ о назначении комиссии по классификации ИСПДн; -Перечень технических средств, участвующих в обработке ПД.
13 ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовила: Долганова Наталья Станиславовна старший юрисконсульт ООО «Управляющая компания «КапиталЪ» (495) (доб. 2422) am.ru