Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемinfoforum.ru
1 Требования закона «О персональных данных»: разумная реализация «Функциональная безопасность бизнеса» Надежда Александровская Заместитель генерального директора ИНФОФОРУМ-12 Москва, января 2010 г.
2 Истоки 1. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера от EST Федеральный закон от года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных» 3. Федеральный закон от года 152-ФЗ «О персональных данных»
3 4. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от г Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от г. 687
4 4 6. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от г Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК, ФСБ, Мининформсвязи России от /86/20 8. Приказ Россвязькомнадзора от г. 8 Об утверждении образца формы уведомления об обработке персональных данных
5 Права субъектов ПД Обязанности оператора Перед государственным органом Перед субъектом ПД Направить уведомление об обработке персональных данных 1. Предоставить субъекту требуемую информацию информацию 2. Устранить нарушения законодательства, допущенные при обработке ПД, а также по допущенные при обработке ПД, а также по уточнению, блокированию и уничтожению ПД уточнению, блокированию и уничтожению ПД При обработке ПД, принимать необходимые организационные и технические меры для защиты ПД
6 Государственный надзор и контроль за обработкой ПД Территориальные Управления Россвязькомнадзора Уполномоченные органы ФСБ России Уполномоченные органы ФСТЭК России Система государственного надзора и контроля
7 7 п. 3, ст. 21 В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности действий с ПД, обязан уничтожить персональные данные. Незамедлительно осуществить блокирование ПД с момента обращения (запроса) СПД или уполномоченного органа по защите прав СПД. п. 3, ст. 21 в срок, не превышающий 3 х рабочих дней с даты такого выявления, обязан устранить допущенные нарушения п. 1, ст. 21 Выявление недостоверных ПД п. 2, ст. 21 У точнить персональные данные и снять их блокирование Подтверждение факта недостоверности ПД Неправомерные действия с ПД
8 1. Предписание, основание: п.3 ст. 9 ФЗ от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» 2.Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии, основание: п.п. 6 ст. 23 гл. 5 ФЗ от «О персональных данных» 3. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПД основание: п.п. 7 ст. 23 гл. 5 ФЗ от «О персональных данных» УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2
9 9 Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ (все через суд) 1. Статья 5.39 Кодекса Российской Федерации об правонарушениях административных правонарушениях. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - Наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей
10 10 Привлечение к административной ответственности: основание: ст. 5.39, 13.11, КоАП РФ Статьи Кодекса Российской Федерации об административных правонарушениях. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - Предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
11 11 Обязанности по защите прав субъекта ПД Сообщить СПД или его законному представителю информацию о наличии ПД, относящихся к соответствующему субъекту ПД, В случае отказа в предоставлении субъекту ПД информации о наличии ПД о соответствующем субъекте ПД, оператор обязан дать в письменной форме мотивированный ответ содержащий ссылку на положение части 5 статьи 14 настоящего ФЗ Предоставить возможность ознакомления с ПД либо в течение десяти рабочих дней с даты получения запроса субъекта ПД или его законного представителя. при обращении субъекта ПД или его законного представителя п. 1, ст. 20 в срок, не превышающий семи рабочих дней со дня обращения субъекта ПД п. 2, ст. 20
12 Права Федеральной службы и ее территориальных органов 1. Запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий 2. Осуществлять проверку сведений, содержащихся в уведомлениях об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий 3. Требовать от оператора блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных 4. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ «О персональных данных» 5. Обращаться в суд с исковым заявлением в защиту прав субъектов персональных данных и представлять интересы субъекта персональных данных в суде
13 13 Права Федеральной службы и ее территориальных органов 6. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятие мер по приостановлению действия или аннулирования соответствующей лицензии 7. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных 8. Вносить через Минкомсвязи России в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных 10. Привлекать к административной ответственности лиц, виновных в нарушении ФЗ «О персональных данных»
14 14 1.Оператор, обрабатывающий персональные данные, т.е. занесенный в реестр операторов 2.Государственный, муниципальный орган, юридическое или физическое лицо оператор не занесенный в реестр, но обрабатывающий ПД 3. Государственный, муниципальный орган, юридическое или физическое лицо оператор, обрабатывающий ПД, но не требующий занесения в реестр Типы проверяемых организаций по обработке ПД
15 15 Обязанности при сборе ПД п.1, ст. 18 Предоставить СПД по его просьбе информацию Даннные об операторе п. 2 ст. 18. РАЗЪЯСНИТЬ Субъекту ПД подтверждение факта обработки ПД применяемые способы обработки ПД, перечень обрабатываемых ПД, источник их получения; сведения о лицах, которые имеют доступ к ПД сроки обработки ПД, в том числе сроки их хранения До начала обработки ПРЕДОСТАВИТЬ для СПД п.3, ст. 18. юридические последствия отказа предоставить свои персональные данные Цель обработки ПД и её правовое основание Предполагаемые пользователи ПД Установленные настоящим ФЗ права СПД
16 Затраты на реализацию по 1 и 2 категории Ст./ 1 раб. место ИЧП (1-2 р.м.) МБ () Ср.Б Кр.ПР. Подача уведомления и регистрация ПДн 1 мес. Лицензирование деятельности по технической защите конфиденциальной информации 3-5 мес. Классификация ПДн 1-3 мес. Разработка частной модели угроз 4-8 мес. Сертификация средств защиты информации 3-6 мес. Аттестация ИСПДн (для системы 1-2 классов) 2-6 мес
17 Спасибо за внимание!
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.