Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема: Требования законодательства Российской Федерации в области обработки персональных данных
Основные нормативные правовые акты 1. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» 2. Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 3. Постановление Правительства Российской Федерации от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 2
4. Постановление Правительства РФ от Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами 5. Приказ ФСТЭК России от «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Основные нормативные правовые акты (продолжение) 3
6. Административный регламент Роскомнадзора по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от и зарегистрированный в Минюсте России Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от и зарегистрированный в Минюсте России Основные нормативные правовые акты (продолжение) 4
5 Федеральный закон «О персональных данных» установил - основные понятия; - права субъектов персональных данных; - обязанности и ответственность операторов, осуществляющих обработку персональных данных; - права и обязанности уполномоченного органа по защите прав субъектов персональных данных
6 Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Основные понятия
7 Примерный перечень мероприятий 1. Назначение ответственного за организацию обработки ПД. 2. Инвентаризация информационных ресурсов. 3. Уточнение правовых оснований обработки ПД. 4. Разработка документов, регламентирующих порядок обработки ПД. Определение сроков обработки ПД. 5. Ознакомление работников, осуществляющих обработку ПД, с законодательством, с локальными актами по ПД (обучение). 6. При необходимости получение согласий субъектов на обработку ПД, пересмотр договоров с субъектами ПД. 7. Направление в Роскомнадзор уведомления об обработке ПД. 8. Опубликовать документ, определяющий политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД.
8 Примерный перечень мероприятий (продолжение) 9. Выполнение организационных и технических мер по защите ПД, обработка которых осуществляется без использования средств автоматизации. 10. Определение угроз безопасности ПД при их обработке в информационных системах ПД. 11. Создание системы защиты персональных данных при их обработке в информационных системах ПД. 12. Контроль за соблюдением порядка обработки ПД
9 Примерный перечень документов Документы, на основании которых осуществляется обработка ПД (законы, подзаконные акты, устав) Уведомление об обработке ПД, направленное в Роскомнадзор Положение об обработке ПД (ознакомление работников, непосредственно осуществляющих обработку ПД) Приказ о назначении ответственного за организацию обработки ПД Приказы об утверждении списка лиц, обрабатывающих ПД Приказы об утверждении мест хранения (обработки) материальных носителей ПД
10 Примерный перечень документов (продолжение) Согласия субъектов ПД (работников, других физических лиц) на обработку ПД (при необходимости) Договоры с работниками, другими физическими лицами (включающие условия обработки ПД) Документы на основании которых осуществляется передача ПД третьим лицам или получение ПД от третьих лиц (включающие сведения согласно ч. 3 ст. 6 ФЗ 152-ФЗ) Типовые формы документов (анкеты, заявления, списки, реестры, журналы, книги и др.), характер информации в которых предполагает или допускает включение в них ПД (включающие сведения согласно п. 7 ПП 687)
11 Примерный перечень документов (продолжение) Обращения граждан по вопросам обработки ПД и материалов их рассмотрения Документ, определяющий угрозы безопасности ПД при их обработке в информационных системах ПД Перечень организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД Документ, определяющий эффективность принимаемых мер по обеспечению безопасности ПД при их обработке в информационных системах ПД Журнал учета машинных носителей персональных данных Документы, определяющие порядок и результаты контроля за принимаемыми мерами по обеспечению безопасности ПД
12 Трудовой кодекс РФ Глава 14. Защита персональных данных работника - при определении объема и содержания обрабатываемых ПД работника работодатель должен руководствоваться федеральными законами; - все ПД работника следует получать у него самого или по письменному согласию у третьей стороны; - работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни. При законной необходимости работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия; - работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПД работников, а также об их правах и обязанностях в этой области; - не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, установленных федеральными законами; - не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции
13 Проверки за соответствием обработки персональных данных Федеральный закон от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, от
Административная ответственность 14 Ст КоАП РФ: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Административный штраф Сумма административного штрафа на граждан От 300 до 500 руб. на должностных лиц От 500 до 1000 руб. на юридических лиц От 5 тыс. до 10 тыс. руб.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 15 Спасибо за внимание!