Персональные данные Ижевск, 29 марта 2012
Правовая база: Основной закон по теме - ФЗ «О персональных данных» 152-ФЗ от г. (с изменениями от г.) Ряд постановлений Правительства РФ и ведомственные правовые акты (список в раздатке) Основной закон по теме - ФЗ «О персональных данных» 152-ФЗ от г. (с изменениями от г.) Ряд постановлений Правительства РФ и ведомственные правовые акты (список в раздатке)
Что такое персональные данные? 1.Любая информация относящаяся к прямо или косвенно определенному и определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ «О персональных данных») 2.Какая информация, по мнению Роскомнадзора, включается в уведомление об обработке персональных данных, то и следует считать ПД 1.Любая информация относящаяся к прямо или косвенно определенному и определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ «О персональных данных») 2.Какая информация, по мнению Роскомнадзора, включается в уведомление об обработке персональных данных, то и следует считать ПД
Субъекты обработки ПД Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД Субъект ПД – физическое лицо, кому принадлежат обрабатываемые ПД Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД Субъект ПД – физическое лицо, кому принадлежат обрабатываемые ПД
Обработка ПД - Это действия, связанные с использованием ПД: – Сбор – Запись – Систематизация – Накопление – Хранение – Обновление – Извлечение – Использование – Передача (распространение, доступ, предоставление) – Обезличивание – Блокирование – Удаление – Уничтожение - Это действия, связанные с использованием ПД: – Сбор – Запись – Систематизация – Накопление – Хранение – Обновление – Извлечение – Использование – Передача (распространение, доступ, предоставление) – Обезличивание – Блокирование – Удаление – Уничтожение
Условие соблюдения ФЗ «О ПД» – обеспечить их защиту обязательное для соблюдения оператором требование - не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Согласие на обработку ПД: конкретное, информированное и сознательное может быть получено в любой позволяющей подтвердить факт его получения форме (лучше письменной) Обязанность получить согласие на обработку ПД лежит на операторе конкретное, информированное и сознательное может быть получено в любой позволяющей подтвердить факт его получения форме (лучше письменной) Обязанность получить согласие на обработку ПД лежит на операторе
Письменная форма согласия ФИО, адрес субъекта ПД, реквизиты документа, удостоверяющего его личность; ФИО, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных; цель обработки ПД; перечень ПД, на обработку которых дается согласие; наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД; срок, в течение которого действует согласие субъекта ПД а также способ его отзыва; подпись субъекта персональных ПД. ФИО, адрес субъекта ПД, реквизиты документа, удостоверяющего его личность; ФИО, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных; цель обработки ПД; перечень ПД, на обработку которых дается согласие; наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД; срок, в течение которого действует согласие субъекта ПД а также способ его отзыва; подпись субъекта персональных ПД.
Что нужно делать, если ПД должны быть обработаны оператором? Подать уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) до начала их обработки.
Как подать уведомление? 1.В письменной форме с подписью должностного лица и предоставить в УПРАВЛЕНИЕ РОСКОМНАДЗОРА ПО УДМУРТСКОЙ РЕСПУБЛИКЕ (5-я Подлесная ул., д. 12-а, г. Ижевск, Удмуртская Республика, ) 2.В электронной форме с электронной цифровой подписью на сайте 1.В письменной форме с подписью должностного лица и предоставить в УПРАВЛЕНИЕ РОСКОМНАДЗОРА ПО УДМУРТСКОЙ РЕСПУБЛИКЕ (5-я Подлесная ул., д. 12-а, г. Ижевск, Удмуртская Республика, ) 2.В электронной форме с электронной цифровой подписью на сайте
Кроме персональных данных: 1.полученных оператором при заключении трудовых отношений 2.полученных оператором в связи с заключением договора, стороной которого является субъект ПД, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД 3.относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией при условии, что ПД не будут распространяться без согласия в письменной форме субъектов ПД 1.полученных оператором при заключении трудовых отношений 2.полученных оператором в связи с заключением договора, стороной которого является субъект ПД, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД 3.относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией при условии, что ПД не будут распространяться без согласия в письменной форме субъектов ПД
продолжение 4.являющихся общедоступными ПД 5.включающих в себя только ФИО субъектов ПД 6.необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях 7.включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка 8.обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД. 4.являющихся общедоступными ПД 5.включающих в себя только ФИО субъектов ПД 6.необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях 7.включенных в информационные системы ПД, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка 8.обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности ПД при их обработке и к соблюдению прав субъектов ПД.
А что дальше? Направление уведомления об обработке персональных данных в Роскомнадзор, автоматически влечет за собой включение организации в реестр операторов, и, соответственно, в список плановых проверок (план проверок на текущий год размещен в свободном доступе на официальном сайте Роскомнадзора
А если не уведомить Роскомнадзор? 1.Административная ответственность: - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст КоАП РФ) – для юр.лиц от 5000до рублей. - разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст КоАП) – для должностных лиц от 4000 до 5000 рублей -непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст КоАП РФ) – для юр.лиц от 3000 до 5000 рублей 1.Административная ответственность: - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст КоАП РФ) – для юр.лиц от 5000до рублей. - разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст КоАП) – для должностных лиц от 4000 до 5000 рублей -непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст КоАП РФ) – для юр.лиц от 3000 до 5000 рублей
Уголовная ответственность: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (лишение свободы до 2-х лет), если те же деяния были совершены с использованием своего служебного положения – до 4-х лет лишения свободы (ст. 137 УК РФ)
Государственные органы – регуляторы в области обработки ПД 1.Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 2.Федеральная служба по техническому и экспортному контролю (ФСТЭК) 3.Федеральная служба безопасности (ФСБ) 4.Органы прокуратуры РФ 5.Федеральная инспекция труда 1.Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 2.Федеральная служба по техническому и экспортному контролю (ФСТЭК) 3.Федеральная служба безопасности (ФСБ) 4.Органы прокуратуры РФ 5.Федеральная инспекция труда
Какие действия и меры необходимо предпринять? 1.Провести классификацию своих информационных систем ПД, определить какие категории ПД обрабатываются, виды обработки ПД, какой класс защиты ПД требуется (классификация проводится в соответствии с требованиями совместного Приказа ФСТЭК, ФСБ и Мин-ва информационных технологий и связи РФ от /86/20). 2.Оператором выносится приказ о назначении комиссии по классификации информационных систем ПД. Процедура заканчивается составлением акта. 1.Провести классификацию своих информационных систем ПД, определить какие категории ПД обрабатываются, виды обработки ПД, какой класс защиты ПД требуется (классификация проводится в соответствии с требованиями совместного Приказа ФСТЭК, ФСБ и Мин-ва информационных технологий и связи РФ от /86/20). 2.Оператором выносится приказ о назначении комиссии по классификации информационных систем ПД. Процедура заканчивается составлением акта.
А дальше? 3.Должно быть разработано и утверждено Положение об обработке ПД с обязательным ознакомлением сотрудников с ним 4.Организация своим приказом назначает лицо, ответственное за обработку ПД Организация – оператор обязана также разработать и ряд других локальных (внутренних) актов, например, приказ о допуске к обработке ПД, документы по поставке и программное обеспечение СЗИ, приказ о вводе системы в эксплуатацию, инструкция по антивирусному обеспечению, документы по прохождению обучения сотрудников требованиям обеспечения безопасности ПД и т.д. 3.Должно быть разработано и утверждено Положение об обработке ПД с обязательным ознакомлением сотрудников с ним 4.Организация своим приказом назначает лицо, ответственное за обработку ПД Организация – оператор обязана также разработать и ряд других локальных (внутренних) актов, например, приказ о допуске к обработке ПД, документы по поставке и программное обеспечение СЗИ, приказ о вводе системы в эксплуатацию, инструкция по антивирусному обеспечению, документы по прохождению обучения сотрудников требованиям обеспечения безопасности ПД и т.д.
Спасибо за внимание!