1 октября 2013 года прошел очередной семинар, организованный Центром «Эксперт», совместно с Управлением Роскомнадзора РФ и Управлением ФСТЭК по ЮФО и СКФО на тему: «Выполнение требований законодательства о персональных данных». В семинаре приняли участие 212 слушателей из 153 организаций и учреждений Ростовской области.
В ходе семинара были освещены вопросы применения законодательства о персональных данных, практики проверок контролирующих органов, защиты персональных данных. Мы благодарны всем участникам за активность, заинтересованность и большое количество вопросов докладчикам.
Центр «Эксперт» планирует и в дальнейшем проводить бесплатные семинары по вопросам защиты информации с участием ведущих специалистов контролирующих органов.
Информации о предстоящих мероприятиях будет размещаться на нашем сайте.
Материалы семинара: подготовлены Управлением Роскомнадзора по Ростовской области.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий: Романов Андрей Геннадьевич
Основные нормативные правовые акты:
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 21.03.2012 № 211 Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Административный регламент Роскомнадзора по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346 и зарегистрированный в Минюсте России 29.03.2012 № 23650
- Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 № 312 и зарегистрированный в Минюсте России 13.12.2011 № 22595
Федеральный закон «О персональных данных» устанавливает:
- основные понятия;
- права субъектов персональных данных;
- обязанности и ответственность операторов, осуществляющих обработку персональных данных;
- права и обязанности уполномоченного органа по защите прав субъектов персональных данных.
Основные понятия:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Примерный перечень мероприятий:
- Назначение ответственного за организацию обработки персональных данных.
- Инвентаризация информационных ресурсов.
- Уточнение правовых оснований обработки персональных данных.
- Разработка документов, регламентирующих порядок обработки персональных данных. Определение сроков обработки персональных данных.
- Ознакомление работников, осуществляющих обработку персональных данных, с законодательством, с локальными актами по персональным данным (обучение).
- При необходимости получение согласий субъектов на обработку персональных данных, пересмотр договоров с субъектами персональных данных.
- Направление в Роскомнадзор уведомления об обработке персональных данных.
- Опубликование документа, определяющего политику в отношении обработки персональных данных. Выполнение организационных и технических мер по защите персональных данных, обработка которых осуществляется без использования средств автоматизации.
- Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДН.
- Учет машинных носителей персональных данных.
- Установление правил доступа к персональным данным в ИСПД, обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДН.
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе восстановление персональных данных.
- Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
Примерный перечень документов:
- Документы, на основании которых осуществляется обработка персональных данных (законы, подзаконные акты, устав)
- Уведомление об обработке персональных данных направленное в Роскомнадзор
- Положение об обработке персональных данных (ознакомление работников, непосредственно осуществляющих обработку ПД)
- Приказ о назначении ответственного за организацию обработки персональных данных
- Приказы об утверждении списка лиц, обрабатывающих персональные данные
- Приказы об утверждении мест хранения (обработки) материальных носителей персональных данных
- Согласия субъектов персональных данных (работников, других физических лиц) на обработку персональных данных (при необходимости)
- Договоры с работниками, другими физическими лицами (включающие условия обработки персональных данных)
- Документы на основании которых осуществляется передача персональных данных третьим лицам или получение персональных данных от третьих лиц (включающие сведения согласно ч. 3 ст. 6 ФЗ № 152-ФЗ)
- Типовые формы документов (анкеты, заявления, списки, реестры, журналы, книги и др.), характер информации в которых предполагает или допускает включение в них персональных данных (включающие сведения согласно п. 7 ПП № 687)
- Обращения граждан по вопросам обработки персональных данных и материалов их рассмотрения
- Документ, определяющий угрозы безопасности персональных данных при их обработке в ИСПДН
- Перечень организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДН
- Документ, определяющий эффективность принимаемых мер по обеспечению безопасности ПД при их обработке в ИСПДН
- Журнал учета машинных носителей персональных данных
- Документы, определяющие порядок и результаты контроля за принимаемыми мерами по обеспечению безопасности персональных данных
Трудовой кодекс РФ. Глава 14. Защита персональных данных работника:
- при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться федеральными законами;
- все персональные данные работника следует получать у него самого или у третьей стороны по письменному согласию работника;
- работодатель не имеет права получать и обрабатывать специальные категории персональных данных работника за исключением случаев, установленных федеральными законами;
- работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
- работники не должны отказываться от своих прав на сохранение и защиту тайны;
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, установленных федеральными законами;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Проверки за соответствием обработки персональных данных:
- Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
- Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, от 14.11.2011 № 312
Проверки операторов персональных данных Ростовской области.
|
за 9 месяцев 2013 года
|
Проведено проверок:
|
105
|
плановых
|
55
|
внеплановых
|
50
|
Выявлено нарушений
|
149
|
Выдано предписаний
|
46
|
Материалы направлены в органы прокуратуры
|
46
|
Органами прокуратуры возбуждено, из них:
|
29
|
на ЮЛ
|
16
|
на ДЛ
|
13
|
- Обработка персональных данных (в том числе передача третьим лицам) без согласия субъекта персональных данных или иного законного основания.
- Несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
- Обработка персональных данных избыточных по отношения к заявленным целям их обработки
- Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ.
- Несоответствие типовых форм документов, содержащих персональные данные, требованиям законодательства РФ.
- Непредставление в уполномоченный орган уведомления об обработке персональных данных или предоставление уведомления, содержащего неполные сведения.
Административная ответственность:
Статьи 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1 000 рублей; на юридических лиц - от 5 000 до 10 000 рублей.
