УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
роскомнадзор
1. «Развитие законодательства
Российской Федерации в области
персональных данных »
Гареева Ольга Геннадьевна
Главный специалист-эксперт отдела
по защите прав субъектов персональных данных
и надзора в сфере информационных технологий
Управления Роскомнадзора по Пермскому краю
тел. 233-29-23, 233-25-52
г. Пермь, ул. Ленина, д. 68, Роскомнадзор, каб. 401-402 1
2. • Уполномоченным органом по защите прав субъектов
персональных данных, на который возлагается обеспечение
контроля и надзора за соответствием обработки персональных
данных в соответствии с требованиями Федерального закона «О
персональных данных», является федеральный орган
исполнительной власти, осуществляющий функции по контролю и
надзору в сфере информационных технологий и связи (ч. 1 ст. 23).
• Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор) является
уполномоченным федеральным органом исполнительной власти
по защите прав субъектов персональных данных (п. 1 Положения о
Федеральной службе по надзору в сфере связи, информационных
технологий и массовых коммуникаций, утверждённого
постановлением Правительства РФ от 16.03.2009 № 228).
• Управление Роскомнадзора по Пермскому краю осуществляет
функции по контролю и надзору за соответствием обработки
персональных данных требованиям законодательства Российской
Федерации в области персональных данных (п. 2 Положения об
Управлении Роскомнадзора по Пермскому краю, утверждённое
приказом Руководителя Роскомнадзора от 22.05.2009 № 128).
3
3. Осуществление деятельности
Роскомнадзора (уполномоченного органа
по защите прав субъектов персональных
данных) по контролю и надзору в области
персональных данных
Регистрация операторов
персональных данных, ведение реестра операторов
Контроль и надзор
за соответствием обработки персональных данных
требованиям законодательства Российской Федерации
в области персональных данных
Рассмотрение обращений
субъектов персональных данных о соответствии содержания
персональных данных и способов их обработки целям их
обработки и принятие соответствующих решений
3
4. Законодательство РФ
в области персональных данных:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
(вступил в силу в январе 2007 г. !!!)
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных
технологиях и защите данных»
Положение об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации, утверждённое постановлением Правительства РФ
от 15.09.2008 № 687
Положение об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных, утверждённое постановлением
Правительства РФ от 17.11.2007 № 781
Требования к материальным носителям биометрических персональных данных и
технологиям хранения таких данных вне информационных систем персональных
данных, утверждённые постановлением Правительства РФ от 06.07.2008 № 512
Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом «О персональных данных« и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися государственными или
муниципальными органами, утверждённый постановлением Правительства РФ от
21.03.2012 № 211 4
5. Основные понятия
Персональные данные - любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных)
Оператор - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или)
осуществляющие обработку ПД, а также определяющие цели
обработки ПД, состав ПД, подлежащих обработке, действия
(операции), совершаемые с ПД
Обработка ПД - любое действие (операция) или
совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования
таких средств с ПД, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных
5
6. Основные понятия
Распространение ПД - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц
Предоставление ПД - действия, направленные на
раскрытие персональных данных определенному лицу или
определенному кругу лиц
Уничтожение ПД - действия, в результате которых
становится невозможным восстановить содержание ПД в
информационной системе ПД и (или) в результате которых
уничтожаются материальные носители персональных данных
Обезличивание ПД - действия, в результате которых
становится невозможным без использования дополнительной
информации определить принадлежность ПД конкретному
субъекту персональных данных
6
7. Основные требования к обработке
персональных данных.
1. Принципы обработки ПД
1. Обработка ПД должна осуществляться на законной и справедливой основе.
2. Обработка ПД должна ограничиваться достижением конкретных, заранее
определенных и законных целей. Не допускается обработка ПД, несовместимая
с целями сбора ПД.
3. Не допускается объединение баз данных, содержащих ПД, обработка которых
осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только ПД, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых ПД должны соответствовать
заявленным целям обработки. Обрабатываемые ПД не должны быть
избыточными по отношению к заявленным целям их обработки.
6. При обработке ПД должны быть обеспечены точность ПД, их достаточность, а
в необходимых случаях и актуальность по отношению к целям обработки ПД.
Оператор должен принимать необходимые меры либо обеспечивать их
принятие по удалению или уточнению неполных или неточных данных.
7. Хранение ПД должно осуществляться в форме, позволяющей определить
субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок
хранения ПД не установлен федеральным законом, договором, стороной
которого является субъект ПД. Обрабатываемые ПД подлежат уничтожению
либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом. 7
8. 2. Условия обработки ПД
1. Главное условие - обработка ПД должна осуществляться с
соблюдением принципов и правил, предусмотренных Федеральным
законом «О персональных данных» .
2. Определены случаи, когда обработка ПД допускается.
3. Условия, если обработка ПД поручается другому лицу.
4. Общедоступные источники ПД.
5. Конфиденциальность ПД.
6. Согласие субъекта ПД (в т.ч. в письменной форме).
7. Особенности обработки специальных ПД.
8. Особенности обработки биометрических ПД.
9. Особенности трансграничной передачи ПД.
10. Особенности обработки ПД в государственных
или муниципальных ИС ПДн.
8
9. 3. Права субъекта ПД
На доступ к своим ПД (ст.14)
При обработке ПД в целях продвижения товаров,
работ, услуг на рынке, а также в целях
политической агитации (ст.15)
При принятии решений на основании
исключительно автоматизированной обработки их
персональных данных (ст.16)
Право на обжалование действий или бездействия
оператора (ст.17)
9
10. 4. Обязанности оператора
При сборе ПД (в т.ч. от других лиц) – ст.18.
По обеспечению выполнения обязанностей – ст. 18.1:
- назначение ответственного;
- издание политики, локальных актов, ...;
- применение правовых, организационных и технических мер безопасности;
- внутренний контроль;
- оценка возможного вреда;
- ознакомление работников с законодательством, политикой, локальными актами;
- публикация политики, документов;
- подтверждение принятия мер, указанных выше.
По обеспечению безопасности ПД – ст. 19.
При получении запроса субъекта (представителя),
Роскомнадзора – ст. 20.
По устранению нарушений – ст. 21.
По уведомлению Роскомнадзора – ст. 22.
По организации работы ответственного лица – ст. 22.1.
10
11. Рассмотрение обращений
(заявлений, жалоб)
субъектов персональных
данных и защита их прав –
одна из функций
Роскомнадзора.
11
12. Рассмотрено обращений
80 78
70 66
60
количество обращений
50
40
30
20
20
13
10
1
0
2008 год 2009 год 2010 год 2011 год 1-3 кв.2012
12
год
13. На что и на кого жалуются:
Обработка п.д. без уведомления Уполномоченного органа
(юр. лица, в т.ч. ЖКХ)
Незаконный сбор п.д. (магазины, почта, ЖКХ, социальные
услуги)
Передача п.д. третьим лицам без согласия (банки, ЖКХ)
Распространение п.д. без согласия (СМИ, Интернет, ЖКХ,
почта)
Не информирование субъекта, когда п.д. получены не от него
(юр. лица, в т.ч. ЖКХ)
Предложение услуг, товаров, агитация без предварительного
согласия (банки, магазины, контент-провайдеры)
Незаконная обработка сведений о судимости (СМИ,
Интернет)
Не обеспечена безопасность п.д. при их
неавтоматизированной обработке (учреждения
здравоохранения)
Обработка п.д. в ИС ПДн без лицензий и сертификатов
(здравоохранение)
13
14. Принципы работы с обращениями
Определены требованиями:
Федеральный закон
от 02.05.2006 № 59-ФЗ
«О порядке рассмотрения обращений граждан Российской
Федерации»
Федеральный закон
от 27.07.2006 № 152-ФЗ «О персональных данных»
(Глава 3. Права субъекта персональных данных.
Глава 4. Обязанности оператора)
Административный регламент
исполнения Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций
государственной функции по осуществлению государственного
контроля (надзора) за соответствием обработки персональных
данных требованиям законодательства Российской Федерации в
области персональных данных от 14 ноября 2011 г. № 312
14
15. Возможные решения по результатам
рассмотрения обращений
Предписание оператору уточнить, блокировать или уничтожить
недостоверные или полученные незаконным путём персональных
данных.
Приостановление или прекращение обработки персональных
данных оператором.
Обращение в суд с исковыми заявлениями в защиту прав
субъектов персональных данных.
Привлечение оператора к административной ответственности.
Ходатайство о возбуждении уголовных дел.
15
16. Полномочия по государственному контролю и
надзору за соответствием обработки персональных
данных требованиям законодательства РФ в области
персональных данных установлены:
Положением о Роскомнадзоре
(утв. постановлением Правительства РФ от 16.03.2009 № 228)
см. Интернет-сайт http://www.rsoc.ru/
Положением об Управлении Роскомнадзора по Пермскому краю
(утв. Руководителем Роскомнадзора 22.05.2009)
см. Интернет-страницу http://59.rsoc.ru/
16
18. Результаты регистрации операторов
На 17.09.2012 в реестре операторов, осуществляющих
обработку персональных данных:
•
• операторов Пермского края – 5 687, из них:
- государственные органы – 265,
- муниципальные органы – 590;
- юридические лица – 4 707;
- физические лица (ИП) – 125.
См. сайт Роскомнадзора
http://pd.rsoc.ru
Зарегистрировались в реестре только
17,2% операторов Пермского края !!!???
18
19. Уведомление об обработке ПД
должно содержать сведения
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки ПД;
3) категории ПД;
4) категории субъектов, ПД которых обрабатываются;
5) правовое основание обработки ПД;
6) перечень действий с ПД, общее описание используемых оператором
способов обработки ПД;
7) описание мер, предусмотренных ст. 18.1 и 19 ФЗ-152, в том числе сведения
о наличии шифровальных (криптографических) средств и наименования этих
средств ;
7.1) фамилия, имя, отчество физического лица или наименование
юридического лица, ответственных за организацию обработки персональных
данных, и номера их контактных телефонов, почтовые адреса и адреса
электронной почты;
8) дата начала обработки ПД;
9) срок или условие прекращения обработки ПД;
10) сведения о наличии или об отсутствии трансграничной передачи
персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности ПД в соответствии с
требованиями к защите ПД, установленными Правительством РФ.
19
20. Внимание !
Операторы, которые осуществляли
обработку персональных данных до
1 июля 2011 года, обязаны представить в
уполномоченный орган по защите прав
субъектов персональных данных сведения,
указанные в пунктах 5, 7.1, 10 и 11 части 3
статьи 22 Федерального закона
«О персональных данных», не позднее 1
января 2013 года
(ФЗ-152, ст. 25 ч. 2.1)
20
21. Об ответственности за нарушения:
Моральный вред, причиненный субъекту персональных
данных вследствие нарушения его прав, нарушения правил
обработки персональных данных, установленных
Федеральным законом «О персональных данных», а также
требований к защите персональных данных, установленных
в соответствии с Федеральным законом «О персональных
данных», подлежит возмещению в соответствии с
законодательством Российской Федерации.
Возмещение морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных
субъектом персональных данных убытков
21
22. КоАП РФ
основные «рабочие» статьи Роскомнадзора
Статья 13.11
Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о
гражданах (персональных данных) – влечёт предупреждение
или наложение административного штрафа на граждан в
размере от трехсот до пятисот рублей; на должностных лиц -
от пятисот до одной тысячи рублей; на юридических лиц - от
пяти тысяч до десяти тысяч рублей.
Статья 19.7
Непредставление или несвоевременное представление в
государственный орган (должностному лицу) сведений
(информации), представление которых предусмотрено
законом и необходимо для осуществления этим органом
(должностным лицом) его законной деятельности, а равно
представление в государственный орган (должностному
лицу) таких сведений (информации) в неполном объеме или в
искаженном виде - влечет предупреждение или наложение
административного штрафа на граждан в размере от ста до
трехсот рублей; на должностных лиц - от трехсот до пятисот
рублей; на юридических лиц - от трех тысяч до пяти тысяч
рублей.
22