Итоги семинара «Выполнение требований законодательства о персональных данных»

1 октября 2013 года прошел очередной семинар, организованный Центром «Эксперт», совместно с Управлением Роскомнадзора РФ и Управлением ФСТЭК по ЮФО и СКФО на тему: «Выполнение требований законодательства о персональных данных». В семинаре приняли участие 212 слушателей из 153 организаций и учреждений Ростовской области.

В ходе семинара были освещены вопросы применения законодательства о персональных данных, практики проверок контролирующих органов, защиты персональных данных. Мы благодарны всем участникам за активность, заинтересованность и большое количество вопросов докладчикам.

Центр «Эксперт» планирует и в дальнейшем проводить бесплатные семинары по вопросам защиты информации с участием ведущих специалистов контролирующих органов.
Информации о предстоящих мероприятиях будет размещаться на нашем сайте.

регистрация на семинар
докладчики семинара

Материалы семинара: подготовлены Управлением Роскомнадзора по Ростовской области.

Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий: Романов Андрей Геннадьевич

Основные нормативные правовые акты:

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 21.03.2012 № 211 Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Административный регламент Роскомнадзора по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Минкомсвязи России от 21.12.2011 № 346 и зарегистрированный в Минюсте России 29.03.2012 № 23650
  • Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 № 312 и зарегистрированный в Минюсте России 13.12.2011 № 22595

Федеральный закон «О персональных данных» устанавливает:

  • основные понятия;
  • права субъектов персональных данных;
  • обязанности и ответственность операторов, осуществляющих обработку персональных данных;
  • права и обязанности уполномоченного органа по защите прав субъектов персональных данных.

Основные понятия:

  • Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
  • Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
  • Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Примерный перечень мероприятий:

  • Назначение ответственного за организацию обработки персональных данных.
  • Инвентаризация информационных ресурсов.
  • Уточнение правовых оснований обработки персональных данных.
  • Разработка документов, регламентирующих порядок обработки персональных данных. Определение сроков обработки персональных данных.
  • Ознакомление работников, осуществляющих обработку персональных данных, с законодательством, с локальными актами по персональным данным (обучение).
  • При необходимости получение согласий субъектов на обработку персональных данных, пересмотр договоров с субъектами персональных данных.
  • Направление в Роскомнадзор уведомления об обработке персональных данных.
  • Опубликование документа, определяющего политику в отношении обработки персональных данных. Выполнение организационных и технических мер по защите персональных данных, обработка которых осуществляется без использования средств автоматизации.
  • Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДН.
  • Учет машинных носителей персональных данных.
  • Установление правил доступа к персональным данным в ИСПД, обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДН.
  • Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе восстановление персональных данных.
  • Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

Примерный перечень документов:

  • Документы, на основании которых осуществляется обработка персональных данных (законы, подзаконные акты, устав)
  • Уведомление об обработке персональных данных направленное в Роскомнадзор
  • Положение об обработке персональных данных (ознакомление работников, непосредственно осуществляющих обработку ПД)
  • Приказ о назначении ответственного за организацию обработки персональных данных
  • Приказы об утверждении списка лиц, обрабатывающих персональные данные
  • Приказы об утверждении мест хранения (обработки) материальных носителей персональных данных
  • Согласия субъектов персональных данных (работников, других физических лиц) на обработку персональных данных (при необходимости)
  • Договоры с работниками, другими физическими лицами (включающие условия обработки персональных данных)
  • Документы на основании которых осуществляется передача персональных данных третьим лицам или получение персональных данных от третьих лиц (включающие сведения согласно ч. 3 ст. 6 ФЗ № 152-ФЗ)
  • Типовые формы документов (анкеты, заявления, списки, реестры, журналы, книги и др.), характер информации в которых предполагает или допускает включение в них персональных данных (включающие сведения согласно п. 7 ПП № 687)
  • Обращения граждан по вопросам обработки персональных данных и материалов их рассмотрения
  • Документ, определяющий угрозы безопасности персональных данных при их обработке в ИСПДН
  • Перечень организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДН
  • Документ, определяющий эффективность принимаемых мер по обеспечению безопасности ПД при их обработке в ИСПДН
  • Журнал учета машинных носителей персональных данных
  • Документы, определяющие порядок и результаты контроля за принимаемыми мерами по обеспечению безопасности персональных данных

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника:

  • при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться федеральными законами;
  • все персональные данные работника следует получать у него самого или у третьей стороны по письменному согласию работника;
  • работодатель не имеет права получать и обрабатывать специальные категории персональных данных работника за исключением случаев, установленных федеральными законами;
  • работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  • работники не должны отказываться от своих прав на сохранение и защиту тайны;
  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, установленных федеральными законами;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Проверки за соответствием обработки персональных данных:

  • Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
  • Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, от 14.11.2011 № 312

Проверки операторов персональных данных Ростовской области.

 

за 9 месяцев 2013 года
Проведено проверок:
105
плановых
55
внеплановых
50
Выявлено нарушений
149
Выдано предписаний
46
Материалы направлены в органы прокуратуры
46
Органами прокуратуры возбуждено, из них:
29
на ЮЛ
16
на ДЛ
13
Основные нарушения:
  • Обработка персональных данных (в том числе передача третьим лицам) без согласия субъекта персональных данных или иного законного основания.
  • Несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
  • Обработка персональных данных избыточных по отношения к заявленным целям их обработки
  • Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ.
  • Несоответствие типовых форм документов, содержащих персональные данные, требованиям законодательства РФ.
  • Непредставление в уполномоченный орган уведомления об обработке персональных данных или предоставление уведомления, содержащего неполные сведения.

Административная ответственность:
Статьи 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1 000 рублей; на юридических лиц - от 5 000 до 10 000 рублей.

фото с семинара по персональным данным