Законодательство о персональных данных в

Персональные данные
Ижевск, 29 марта 2012
Правовая база:
• Основной закон по теме - ФЗ «О
персональных данных» №152-ФЗ от
27.06.2006 г. (с изменениями от 25.07.2011
г.)
• Ряд постановлений Правительства РФ и
ведомственные правовые акты (список
в раздатке)
Что такое персональные данные?
1. Любая информация относящаяся к прямо
или
косвенно
определенному
и
определяемому
физическому
лицу
(субъекту персональных данных) (ст. 3 ФЗ
«О персональных данных»)
2. Какая
информация,
по
мнению
Роскомнадзора,
включается
в
уведомление об обработке персональных
данных, то и следует считать ПД
Субъекты обработки ПД
• Оператор - государственный орган, муниципальный
орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку
ПД, а также определяющие цели обработки ПД,
состав ПД, подлежащих обработке, действия
(операции), совершаемые с ПД
• Субъект ПД – физическое лицо, кому принадлежат
обрабатываемые ПД
Обработка ПД
- Это действия, связанные с использованием ПД:
– Сбор
– Запись
– Систематизация
– Накопление
– Хранение
– Обновление
– Извлечение
– Использование
– Передача (распространение, доступ, предоставление)
– Обезличивание
– Блокирование
– Удаление
– Уничтожение
Условие соблюдения ФЗ «О ПД» –
обеспечить их защиту
• обязательное для соблюдения оператором
требование - не допускать их
распространение без согласия субъекта
персональных данных или наличия
иного законного основания.
Согласие на обработку ПД:
• конкретное,
информированное
и
сознательное
• может
быть
получено
в
любой
позволяющей подтвердить факт его
получения форме (лучше письменной)
• Обязанность
получить
согласие
на
обработку ПД лежит на операторе
Письменная форма согласия
•
•
•
•
•
•
•
•
•
ФИО, адрес субъекта ПД, реквизиты документа, удостоверяющего его личность;
ФИО, адрес представителя субъекта ПД, номер основного документа, удостоверяющего
его личность, реквизиты доверенности или иного документа, подтверждающего
полномочия этого представителя (при получении согласия от представителя субъекта
персональных данных);
наименование или ФИО и адрес оператора, получающего согласие субъекта
персональных данных;
цель обработки ПД;
перечень ПД, на обработку которых дается согласие;
наименование или ФИО и адрес лица, осуществляющего обработку персональных
данных по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с ПД, на совершение которых дается согласие, общее описание
используемых оператором способов обработки ПД;
срок, в течение которого действует согласие субъекта ПД а также способ его отзыва;
подпись субъекта персональных ПД.
Что нужно делать, если ПД должны быть
обработаны оператором?
Подать уведомление в Федеральную службу
по надзору в сфере связи, информационных
технологий и массовых коммуникаций
(Роскомнадзор) до начала их обработки.
Как подать уведомление?
1. В письменной форме с подписью должностного
лица и предоставить в УПРАВЛЕНИЕ
РОСКОМНАДЗОРА
ПО
УДМУРТСКОЙ
РЕСПУБЛИКЕ (5-я Подлесная ул., д. 12-а, г.
Ижевск, Удмуртская Республика, 426069)
2. В электронной форме с электронной цифровой
подписью на сайте www.18.rsoc.ru
Кроме персональных данных:
1.
2.
3.
полученных оператором при заключении трудовых отношений
полученных оператором в связи с заключением договора, стороной
которого является субъект ПД, если персональные данные не
распространяются, а также не предоставляются третьим лицам без
согласия субъекта персональных данных и используются оператором
исключительно для исполнения указанного договора и заключения
договоров с субъектом ПД
относящихся к членам (участникам) общественного объединения
или религиозной организации и обрабатываемых соответствующими
общественным объединением или религиозной организацией при
условии, что ПД не будут распространяться без согласия в
письменной форме субъектов ПД
продолжение
4.
5.
6.
7.
8.
являющихся общедоступными ПД
включающих в себя только ФИО субъектов ПД
необходимых в целях однократного пропуска субъекта ПД на
территорию, на которой находится оператор, или в иных
аналогичных целях
включенных в информационные системы ПД, имеющие в
соответствии с федеральными законами статус федеральных
автоматизированных информационных систем, а также в
государственные информационные системы персональных данных,
созданные в целях защиты безопасности государства и
общественного порядка
обрабатываемых без использования средств автоматизации в
соответствии с законодательством, устанавливающим требования к
обеспечению безопасности ПД при их обработке и к соблюдению
прав субъектов ПД.
А что дальше?
Направление уведомления об обработке
персональных данных в Роскомнадзор,
автоматически влечет за собой включение
организации в реестр операторов, и,
соответственно, в
список
плановых
проверок (план проверок на текущий год
размещен в свободном доступе на
официальном
сайте
Роскомнадзора
www.rsoc.ru)
А если не уведомить
Роскомнадзор?
1.Административная ответственность:
- нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах
(персональных данных (ст. 13.11 КоАП РФ) – для юр.лиц от 5000до 10000
рублей.
- разглашение информации, доступ к которой ограничен федеральным
законом (за исключением случаев, если разглашение такой информации
влечет уголовную ответственность) (ст. 13.14 КоАП) – для должностных
лиц от 4000 до 5000 рублей
- непредставление или несвоевременное представление в государственный
орган (должностному лицу) сведений (информации), представление
которых предусмотрено законом и необходимо для осуществления этим
органом (должностным лицом) его законной деятельности, а равно
представление в государственный орган (должностному лицу) таких
сведений (информации) в неполном объеме или в искаженном виде
(ст.19.7. КоАП РФ) – для юр.лиц от 3000 до 5000 рублей
Уголовная ответственность:
Незаконное собирание или распространение сведений о
частной жизни лица, составляющих его личную или
семейную тайну, без его согласия либо распространение
этих сведений в публичном выступлении, публично
демонстрирующемся
произведении
или
средствах
массовой информации (лишение свободы до 2-х лет),
если те же деяния были совершены с использованием
своего служебного положения – до 4-х лет лишения
свободы (ст. 137 УК РФ)
Государственные органы – регуляторы в
области обработки ПД
1. Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций
(Роскомнадзор)
2. Федеральная служба по техническому и экспортному
контролю (ФСТЭК)
3. Федеральная служба безопасности (ФСБ)
4. Органы прокуратуры РФ
5. Федеральная инспекция труда
Какие действия и меры необходимо
предпринять?
1. Провести
классификацию
своих
информационных систем ПД, определить какие
категории ПД обрабатываются, виды обработки
ПД, какой класс защиты ПД требуется
(классификация проводится в соответствии с требованиями
совместного Приказа ФСТЭК, ФСБ и Мин-ва информационных
технологий и связи РФ от 13.02.2008 №55/86/20).
2. Оператором выносится приказ о назначении
комиссии по классификации информационных
систем
ПД.
Процедура
заканчивается
составлением акта.
А дальше?
3.Должно быть разработано и утверждено Положение об
обработке ПД с обязательным ознакомлением сотрудников
с ним
4.Организация своим приказом назначает лицо,
ответственное за обработку ПД
Организация – оператор обязана также разработать и ряд
других локальных (внутренних) актов, например, приказ о
допуске к обработке ПД, документы по поставке и
программное обеспечение СЗИ, приказ о вводе системы в
эксплуатацию, инструкция по антивирусному
обеспечению, документы по прохождению обучения
сотрудников требованиям обеспечения безопасности ПД и
т.д.
Спасибо
за внимание!