1. Выполнение закона
В ФЗ №152
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

2. Принципы обработки персональных данных:
1) законность целей и способов обработки персональных данных и
добросовестность;
2) соответствие целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также
полномочиям оператора;
3) соответствие объема и характера обрабатываемых персональных
данных, способов обработки персональных данных целям обработки
персональных данных;
4) достоверность персональных данных, их достаточность для целей
обработки, недопустимости обработки персональных данных,
избыточных по отношению к целям, заявленным при сборе
персональных данных;
5) недопустимость объединения созданных для несовместимых между
собой целей баз данных информационных систем персональных
данных.
Нормативные правовые акты
Федеральный закон от 27 июля 2006 г. №
152-ФЗ «О персональных данных»

3. ИЗМЕНЕНИЯ В ФЗ №152
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Статья 1
•Внести в часть 3 статьи 25 Федерального закона от
27 июля 2006 года № 152-ФЗ «О персональных
данных» (Собрание законодательства Российской
Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст.
6439) изменение, изложив ее в следующей редакции:
•«3. Информационные системы персональных
данных, созданные до 1 января 2011 года, должны
быть приведены в соответствие с требованиями
настоящего Федерального закона не позднее 1 июля
2011 года.».
Статья 2
Настоящий Федеральный закон
вступает в силу с 1 января 2011 года.

5. Операторы, которые осуществляли обработку персональных
данных до 1 июля 2011 года, обязаны представить в
уполномоченный орган по защите прав субъектов персональных
данных сведения, указанные в пунктах:
5 (правовое основание обработки персональных данных),
7.1 (фамилия, имя, отчество физического лица или
наименование юридического лица, ответственных за
организацию обработки персональных данных, и номера их
контактных телефонов, почтовые адреса и адреса
электронной почты),
10 (сведения о наличии или об отсутствии трансграничной
передачи персональных данных в процессе их обработки)
11 (сведения об обеспечении безопасности персональных
данных в соответствии с требованиями к защите
персональных данных, установленными Правительством
Российской Федерации)
части 3 статьи 22 настоящего Федерального закона.
Глава 6. Заключительные положения.
5

6. СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ
ОРГАН УВЕДОМЛЕНИЯ

7. СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ
ОРГАН УВЕДОМЛЕНИЯ

8. Контроль и надзор за выполнением требований по
защите ПДн
Федеральная служба
безопасности
(ФСБ)
• курирует вопросы защиты
ПДн с помощью
шифровальных
(криптографических)
средств
Федеральная служба по
техническому и
экспортному контролю
(ФСТЭК)
• курирует вопросы,
связанные с технической
защитой ПДн, за
исключением
криптографической
защиты.
Федеральная служба по
надзору в сфере связи,
массовых коммуникаций
(Роскомнадзор)
• надзор за соблюдением
требований,
установленных
федеральным законом «О
персональных данных»
№152 (ФЗ-152): порядок
сбора, обработки,
уничтожения ПДн
• защита прав субъектов
ПДн в суде
(Под технической защитой конфиденциальной информации понимается комплекс
мероприятий по ее защите от несанкционированного доступа (НСД), в том числе и по
техническим каналам, а также от специальных воздействий на такую информацию в
целях ее уничтожения, искажения или блокирования доступа к ней).
Адрес: 664011, г.Иркутск,
ул.Халтурина, 7 (а/я 169)
Телефон: (3952) 25-50-93,
факс: (3952) 34-19-91
Официальный сайт:
http://www.fsb.ru
Адрес: 630091, г.
Новосибирск, Красный
проспект, д. 41.
Телефон: (383) 203-54-01
Официальный сайт:
http://www.fstec.ru
Адрес: 644003 г.Иркутск,
ул.Литвинова, д.13
Телефон: (3952) 341-636
Официальный сайт:
http://38.rsoc.ru
8

9. Контроль и надзор за выполнением
требований по защите ПДн
Указанные органы могут проводить документарные и
выездные плановые и внеплановые проверки.
Важно учитывать, что проверки могут проводиться как в
отношении операторов, включенных в реестр операторов,
осуществляющих обработку ПДн, так и в отношении не
включенных в реестр операторов, но фактически
осуществляющих обработку ПДн.
Перед проверкой надзорный орган уведомляет организацию о
предстоящей процедуре. В случае плановой проверки – не
позднее, чем за 3 рабочих дня до дня начала проверки, в
случае внеплановой – не позднее 24-х часов до начала
проверки.
9

10. Контроль и надзор за выполнением
требований по защите ПДн
Предметом документарной проверки являются следующие документы:
уведомление об обработке ПДн
документы, необходимые для проверки фактов, (содержащих признаки
нарушения законодательства РФ в области ПДн) изложенных в обращениях
граждан и информации, поступившей в надзорный орган
документы, подтверждающие выполнение оператором предписаний об
устранении ранее выявленных нарушений законодательства РФ в области
ПДн
согласие субъекта ПДн на обработку его персональных данных
локальные акты оператора, подтверждающие соблюдение требований
законодательства РФ при обработке специальных категорий и
биометрических ПДн
локальные акты оператора, подтверждающие уничтожение ПДн по
достижении цели их обработки
локальные акты оператора, регламентирующие порядок и условия
обработки ПДн
10

11. Контроль и надзор за выполнением
требований по защите ПДн
В первую очередь проверяются документы организации, имеющиеся в
распоряжении надзорного органа. Если во время проверки возникает
необходимость в иных документах, то надзорный орган вправе запросить в
письменном виде у организации соответствующие документы.
К мотивированному запросу обязательно прилагается заверенная печатью
копия распоряжения или приказа руководителя надзорного органа, на
основании которого проводится проверка.
В течение десяти рабочих дней со дня получения запроса организация
обязана направить в надзорный орган запрашиваемые документы.
Документы (копии) должны быть заверены печатью организации.
11

12. Контроль и надзор за выполнением
требований по защите ПДн
Надзорный орган не вправе требовать:
нотариально заверенные копии документов
документы, не относящиеся к предмету документарной проверки
сведения и документы, которые могут быть получены этим органом от
иных органов государственного контроля (надзора), органов
муниципального контроля.
12

13. Контроль и надзор за выполнением
требований по защите ПДн
Выездная проверка является формой документарной проверки, которая
проводится сотрудниками надзорного органа по месту нахождения
организации.
Целью проведения выездной проверки является проверка полноты и
достоверности сведений, содержащихся в уведомлении об обработке ПДн,
а также в иных документах, имеющихся в распоряжении надзорного
органа.
Оператор обязан предоставить должностным лицам надзорного органа
возможность ознакомиться с документами, связанными с целями, задачами
и предметом выездной проверки, а также обеспечить доступ проверяющим
в здания, строения, сооружения, помещения и к оборудованию,
используемому оператором для обработки ПДн.
Должностные лица надзорного органа не вправе изымать оригиналы
документов. 13

14. Контроль и надзор за выполнением
требований по защите ПДн
Внеплановые проверки проводятся:
Роскомнадзором в случае:
получения обращений, жалоб (как от субъектов ПДн, так и
организаций, государственных и муниципальных органов) или
информации из СМИ о возникновении угрозы здоровью или
жизни граждан, а также о непосредственном причинении вреда
здоровью или жизни граждан
нарушения законных прав и интересов субъектов ПДн при
обработке оператором ПДн
получения от Правительства РФ или Президента РФ
соответствующих поручений
истечения срока исполнения оператором предписания об
устранении нарушений, выявленных во время предыдущих
проверок
ФСТЭК России и ФСБ России по обращению Роскомнадзора. 14

15. Контроль и надзор за выполнением
требований по защите ПДн
Плановые проверки проводятся на основании плана проверок на текущий
год, с которым можно ознакомиться по следующему адресу:
http://www.rsoc.ru/plan-and-reports/contolplan
Основанием включения оператора в годовой план является начало
оператором обработки ПДн. Плановые проверки проводятся не чаще чем
один раз в три года.
ФСТЭК России и ФСБ России также осуществляют контрольно-надзорные
функции за лицензиатами (организациями, имеющими лицензии
соответственно ФСТЭК России и ФСБ России, и оказывающие услуги по
технической защите информации). Реестр лицензиатов ФСТЭК находится
по следующему адресу:
http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls;
15

16. Результаты операции «Всеобуч»
41%
80%
96%
30% 30%
65%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Уведомление в
Россвязькомнадзор
Положение об
обработке ПД
Согласие субъекта
на обработку его ПД
Локальные акты
оператора,
подтверждающие
соблюдение
требований
Локальные акты
оператора,
регламентирующие
порядок и условия
обработки ПДн
Школьные
нормативные
документы

17. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ДЛЯ
ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ГОСУДАРСТВЕННЫХ
ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ
ИРКУТСКОЙ ОБЛАСТИ
17

18. Сборник состоит из четырех частей:
•В первой части методических рекомендаций (разделы 1-4) содержатся общие
сведения о применяемых в документах понятиях, законодательстве и способах
организации системы защиты.
•Во второй части методических рекомендаций (разделы 5-7) подробно
рассматриваются информационные системы персональных данных в
учреждениях и способы приведения их в соответствие законодательству.
•Третья часть методических рекомендаций (разделы 8-14) посвящена
подробным рекомендациям по механизмам защиты, необходимой
документации, рекомендациям при работе с бумажными носителями и
способами понижения требований к защите персональных данных.
•Заключительная четвертая часть методических рекомендаций (разделы 15-19)
содержит дополнительные рекомендации для отдельных ситуаций и ответы на
часто задаваемые вопросы.
Так же сборник включает в себя:
•Акты классификации
•Методика составления ЧМУ
•Комплект форм учета
•Набор типовых бланков
•Типовые проекты приказов, инструкций, положений.
18

19. Спасибо за внимание!