«Исполнение законодательства в сфере обработки персональных данных» г. Иркутск 2011 г. Управление Федеральной службы по надзору в сфере связи, информационных.

Презентация:



Advertisements
Похожие презентации
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Advertisements

НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
1 Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области Управление Федеральной.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Персональные данные Ижевск, 29 марта Правовая база: Основной закон по теме - ФЗ «О персональных данных» 152-ФЗ от г. (с изменениями от.
2014 г. Иркутск Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области « Об исполнении.
Уровни правового регулирования Международные акты Федеральные законы Указы президента, Постановления правительства РФ Акты уполномоченных федеральных органов.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Салихов Ильдар Амирович Управление Роскомнадзора по Республике Башкортостан Главный специалист-эксперт отдела по защите прав субъектов персональных данных.
ФЗ 142 ОТ ГОДА « О ПЕРСОНАЛЬНЫХ ДАННЫХ » ВЫПОЛНИЛА СТУДЕНТКА 5 КУРСА ГРУППЫ ТО 14/1 ЯРОВАЯ АЛЁНА.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Программа «Правовая поддержка социально ориентированных некоммерческих организаций» Цель Программы: распространение практики профессиональной правовой.
КОМПАНИЯ СТЭК « Применение законодательства по защите прав субъектов при обработке персональных данных »
«Исполнение законодательства в области обработки персональных данных» 2012 г. Управление Федеральной службы по надзору в сфере связи, информационных технологий.
Порядок уведомления Уполномоченного органа об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 года 152-ФЗ «О персональных.
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
Транксрипт:

«Исполнение законодательства в сфере обработки персональных данных» г. Иркутск 2011 г. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области

Контактная информация Адрес Управления Роскомнадзора по Иркутской области , г. Иркутск, ул. Халтурина, д. 7, а/я 169 Сайты 38.rsoc.ru / 38.роскомнадзор.рф rsoc.ru / роскомнадзор.рф pd.rsoc.ru Телефоны/факс 8 (3952) , , , Отдел по защите прав субъектов персональных данных и надзора в сфере информационных технологий Начальник отдела: Савченко Александр Леонидович; Главный специалист – эксперт: Лавров Алексей Геннадьевич; Специалист – эксперт: Сапрыкина Олеся Васильевна.

Нормативные правовые акты, регулирующие деятельность в области персональных данных Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.); Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.); Конституция Российской Федерации (ст. 23,24); Конституция Российской Федерации (ст. 23,24); Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (Глава 14 – «Защита персональных данных работника»; Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (Глава 14 – «Защита персональных данных работника»; Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных»; Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных»; Постановление Правительства Российской Федерации от 17 ноября 2007 года 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 17 ноября 2007 года 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 15 сентября «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ; Постановление Правительства Российской Федерации от 15 сентября «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ; Постановление Правительства Российской Федерации от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства Российской Федерации от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных; Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных; Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах защиты информации в информационных системах персональных данных». Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах защиты информации в информационных системах персональных данных».

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных Оператор (ст. 3) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Федеральные органы государственной власти Исполнительные органы государственной власти субъектов РФ Муниципальные органы Государственные органы Органы местного самоуправления Центральные аппараты, территориальные органы федеральных органов исполнительной власти Правительства и Администрации субъектов РФ, их структурные подразделения ГУПы, в т.ч. Центры занятости населения ОМСУ всех уровней Больницы, детские сады, коммунальные службы

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных Персональные данные Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Распространение персональных данных Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Персональные данные Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Распространение персональных данных Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных» Персональные данныеОператор Непосредственные Специальные Биометрические Обработка ПД

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных» Специальные категории персональных данных (ст. 10) Сведения, раскрывающие расовое или этническое происхождение субъекта Политические взгляды субъекта Религиозные или философские убеждения Сведения, касающиеся состояния его здоровья, сексуальных наклонностей, судимости Закон допускает возможность одновременной обработки как всех персональных данных представленной специальной категории, так и отдельных из них в части, касающейся конкретной ситуации. Письменное согласие субъекта персональных данных на их обработку, Письменное согласие субъекта персональных данных на их обработку, равно как и общедоступность указанных сведений, являются универсальными основаниями, предоставляющими оператору право на обработку специальной категории персональных данных.

Согласие субъекта персональных данных на обработку своих персональных данных (ст. 9) Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных законом Федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

Соблюдение требований законодательства в области персональных данных Внешняя работа Внутренняя работа Направить уведомление об обработке ПД Направить уведомление об обработке ПД в уполномоченный орган и иные действия. Связанные в уполномоченный орган и иные действия. Связанные с ведение государственного реестра операторов ст. 22 с ведение государственного реестра операторов ст. 22 Принимать необходимые организационные и технические меры для защиты ПД До начала обработки определить цели обработки, правовые основания обработки, категории ПД и категории субъектов ПД, сроки и условия прекращения обработки ПД Соблюдения требований закона (ст. 6, ст. 7, ст. 9) при передаче (распространении) ПД третьим лицам, в т.ч. при поручении обработки ПД третьим лицам от лица УК обеспечения требований ч. 4 ст. 6 Соблюдения требований закона (ст. 9, 14. ст. 18ст. 20, Соблюдения требований закона (ст. 9, 14. ст. 18 ст. 20, ст. 21, ст. 23при поступлении запроса о предоставлении ст. 21, ст. 23 при поступлении запроса о предоставлении информации от Субъекта ПД или Уполн. органа информации от Субъекта ПД или Уполн. органа Устранить нарушения законодательства, допущенные при обработке ПД, а также по допущенные при обработке ПД, а также по уточнению, блокированию и уничтожению ПД уточнению, блокированию и уничтожению ПД Подготовить документы и провести все необходимые мероприятия в отношении работников обеспечиваю- мероприятия в отношении работников обеспечиваю- щие соблюдение требований Главы 14 (ст ТК) Обеспечить при обработке ПД требования, предусмотренные п.п. 3, 5, 6, 7,8, 13, 15 ПП РФ от 15 сентября 2008 г. 687 Организовать работу и Обеспечить при обработке ПД требования, ПП РФ от

Уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД Начало обработки ПД направляется в письменной форме, в т.ч. при помощи электронного портала «Персональные данные» подписанное уполномоченным лицом или направляется в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ Уведомить об изменениях уполномоченный орган по защите прав субъектов ПД в течение десяти рабочих дней с даты возникновения таких изменений. ч. 1 ст. 22 ч. 3 ст. 22 Уведомление п. 7 ст. 22 Работа с уведомлением (внешняя работа) В случае требования уполномоченного органа по защите прав субъектов персональных данных предоставить уточненные сведения ч. 6 ст. 22

Содержание уведомления об обработке персональных данных (п. 3 ст ФЗ) 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; (п. 7 в ред. Федерального закона от N 261-ФЗ) 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; (п. 7.1 введен Федеральным законом от N 261-ФЗ) 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; (п. 10 введен Федеральным законом от N 261-ФЗ) 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Порядок работы с уведомлением на сайте Порядок работы с уведомлением на сайте 1 шаг

2 шаг

Порядок заполнения электронного уведомления

Конфиденциальность персональных данных обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом ОПЕРАТОР Обработка ПД третьими лицами должна соответствовать целям, указанным в предоставленном Субъектом согласии ст. 7 При наличии согласия Субъекта ПД на такую передачу если иное не предусмотрено ч. 1 ст. 6 Передача третьим лицам (внешняя работа) ОПЕРАТОР Поручение обработки третьим лицам (внешняя работа) При наличии согласия Субъекта ПД на такую обработку (если данные не обезличены) Существенное условие включаемое в договор согласно ч. 3 ст. 6 обеспечение конфиденциальности и безопасности поручаемых обработке ПД Организация по платежам

Соблюдения требований законодательства при обработке (внутренняя работа) При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия: а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. п. 8 Правил, утв. ПП 687 от г При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. п. 7 Правил, утв. ПП 687 от г

Организация работы при обработке ПД согласно требованиям ПП РФ от (внутренняя работа) Разработать документ (положение, правила), регламентирующий правила обработки персональных данных, осуществляемых с использованием средств автоматизации; Выявить все свои ИСПД; Утвердить приказом (распоряжением)перечень (списки) лиц, обрабатывающих персональные данные; Ознакомить под роспись всех сотрудников с нормативными, локальными документами, регламентирующими обработку ПД в организации; Определить назначение ИСПД и круг лиц, работающих с данной ИСПД, описать все это документально; Классифицировать все свои ИСПД; Создать модель угроз для каждой конкретной ИСПДН, описать средства защиты, разработать ряд нормативных документов; Обеспечить техническими и организационными мерами требуемый уровень безопасности для каждой конкретной ИСПД в соответствии с ее классом.

Ответственность оператора за нарушение порядка работы с персональными данными За виновные действия нарушающие требования Федерального Закона 152–ФЗ «О персональных данных» операторы несут ст. 24 Увольнение ст. 81 Трудового Кодекса Дисциплинарную Административную Гражданскую Уголовную ст. ст. 5.39, 19.7, 13.11, КоАП Возмещение убытков, комп. морального вреда ст. 137, 140, 272 УК

Спасибо за внимание! г. Иркутск 2011 г. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области Специалист-эксперт отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Иркутской области – Савченко Александр Леонидович