1 «Законодательство в области персональных данных. Государственный надзор и контроль за деятельностью операторов персональных данных» КОСТЫНЮК ОКСАНА ВАСИЛЬЕВНА Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Красноярскому краю

2 Нормативные правовые акты в области персональных данных Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, ) EST 108

3 Нормативные правовые акты в области персональных данных Конституция Российской Федерации от г. Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от ФЗ «О персональных данных» Указ Президента Российской Федерации от 6 марта 1997 года 188 «Об утверждении перечня сведений конфиденциального характера» Постановление Правительства РФ от «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (в части, не противоречащей ЗоПДн) Постановление Правительства РФ от г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (в части, не противоречащей ЗоПДн)

4 Другие НПА, прямо или косвенно связанные с обработкой персональных данных, в том числе: - Трудовой кодекс РФ; - ФЗ «Об актах гражданского состояния»; - ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы»; - ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»; - ФЗ «О воинской обязанности военной службе»; - ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» ; - ФЗ «О государственном банке данных о детях, оставшихся без попечения родителей»; - ФЗ «О связи»; - ФЗ «Об информации информационных технологиях и о защите информации»; - Правила регистрации и снятия граждан РФ с регистрационного учёта по месту пребывания и по месту жительства … (ПП РФ); -и т.д. (более 30 наименований). -ВСЕ ДОЛЖНЫ БЫТЬ ПРИВЕДЕНЫ В СООТВЕТСТВИЕ С ЗАКОНОМ О ПЕРСОНАЛЬНЫХ ДАННЫХ

5 Определил основные понятия в области ПД. Установил принципы, условия и порядок обработки ПД. Определил права субъекта ПД. Установил обязанности оператора ПД, в том числе: - по его регистрации; - по его регистрации; - по обеспечению безопасности ПД при их обработке. Назначил уполномоченный орган по защите прав субъектов ПД, возложил на него полномочия по обеспечению контроля и надзора за соответствием обработки ПД требованиям законодательства в области ПД, разграничил полномочия по контролю и надзору между Роскомнадзором, ФСБ России и ФСТЭК России в зависимости от категории и способа обработки ПД Назначил уполномоченный орган по защите прав субъектов ПД, возложил на него полномочия по обеспечению контроля и надзора за соответствием обработки ПД требованиям законодательства в области ПД, разграничил полномочия по контролю и надзору между Роскомнадзором, ФСБ России и ФСТЭК России в зависимости от категории и способа обработки ПД. законодательства в области ПД. Определил ответственность за нарушение требований законодательства в области ПД. Федеральный закон «О персональных данных» (основное содержание)

6 !!!!! Вступил вступил в силу и действует на всей территории РФ с , его требования обязательны к исполнению с !!!!! Внесены изменения Федеральным законом от ФЗ, вступившие в силу с , но распространяющиеся на правоотношения, возникшие с 1 июля 2011 г. Федеральный закон от ФЗ О персональных данных»

7 Основные понятия Оператор Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Персональные данные Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Обработка ПД Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

8 Изменения основных терминов Терминология ПДн (биометрические ПДн, обезличивание, обработка, автом. обработка, трансгр. передача) Условия обработки ПДн Появление «обработчика» ПДн (ЛОПДПО) Условия обработки специальных категорий ПДн Условия трансграничной передачи ПДн Условия ограничения доступа субъекта к его ПДн Условия не предоставления субъекту сведений Контроль и надзор со стороны ФСТЭК и ФСБ Содержание уведомления в РКН Возмещение морального вреда

9 Новое в Законе о персональных данных Ст Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом (публикация положения об обработке и безопасности ПДн, обязанность оператора предоставить доказательства реализации мер РКН) Ст. 19. Меры по обеспечению безопасности персональных данных при их обработке (полная переработка правил игры) Ст Лица, ответственные за организацию обработки персональных данных в организациях

10 Получать сведения об операторе ПД. Получать сведения об операторе ПД. Иметь доступ к своим ПД. Иметь доступ к своим ПД. Требовать уточнение, блокирование, уничтожение ПД. Требовать уточнение, блокирование, уничтожение ПД. Отзывать согласие на обработку ПД. Отзывать согласие на обработку ПД. Получать информацию, относительно обработки своих ПД (подтверждение факта обработки, цели и способы обработки, кому доступны, перечень ПД, источник получения ПД, сроки обработки, в т.ч. хранения, … ). Получать информацию, относительно обработки своих ПД (подтверждение факта обработки, цели и способы обработки, кому доступны, перечень ПД, источник получения ПД, сроки обработки, в т.ч. хранения, … ). Требовать прекратить обработку ПД в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации с использованием средств связи без предварительного согласия. Требовать прекратить обработку ПД в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации с использованием средств связи без предварительного согласия. Обжаловать действия или бездействие оператора в уполномоченный орган или суд. Обжаловать действия или бездействие оператора в уполномоченный орган или суд. Защищать права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке Защищать права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке. Основные права субъекта ПД (ст.14-ст.17 Федерального закона)

11 Основные обязанности оператора ПД (ст.18- ст.22 Федерального закона) Перед уполномоченным органом Перед субъектом ПД - Уведомлять об обработке ПД. - Сообщать изменения сведений. - Предоставлять сведения по запросу. - Сообщать об устранении нарушений - и т.д. - Давать информацию о себе и обработке ПД - Разъяснять субъекту ПД его права - Уточнять, блокировать, уничтожать ПД - Информировать об устранении нарушений - и т.д. При обработке ПД принимать необходимые организационные и технические меры для защиты ПД !!!

12 функции по контролю и надзору за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Государственный надзор и контроль за обработкой ПД Территориальные Управления Роскомнадзора (защита прав субъектов персональных данных) Уполномоченные органы ФСБ России (контроль над обеспечением безопасности) Уполномоченные органы ФСТЭК России (противодействие техническим разведкам и техническая защита информации) Система государственного надзора и контроля функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных

13 Субъекты надзора Объекты надзора Государственный орган Персональные данные Муниципальный орган Юридическое лицо Физическое лицо Специальные ПД Фамилия, имя, отчество Год, месяц, дата рождения и т.д Расовая принадлежность, национальная принадлежность, политические взгляды и т.д. Основные ПД характеризуют физиологические и биологические особенности человека, на основании их можно установить его личность и используются оператором для установления личности субъекта персональных данных Субъекты и объекты государственного надзора (контроля) в области персональных данных Биометрические ПД

14 Предметы контроля по ФЗ «О персональных данных» - Наличие уведомления об обработке ПД. - Полнота и достоверность сведений в уведомлении. - Соблюдение принципов и условий обработки ПД, в т.ч. специальных и биометрических (конфиденциальность, согласие, сроки хранения, соблюдение прав субъектов ПД, выполнение обязанностей оператором,...). - Выполнение заявленных мер безопасности ПД (организационных, технических).

15 Виды проверок Жалобы, обращения субъекта ПД Плановые проверки (не чаще 1 раза в 3 года, не более 20 р.д.) Внеплановые проверки Реестр операторов ПД и деятельность, связанная с обработкой ПДн О защите прав ЮЛ и ИП при государств. контроле (ФЗ-294) О порядке рассмотрения обращений граждан РФ (ФЗ-59)

16 Мероприятия по контролю, проводимые в рамках проверки Обследование информационных систем персональных данных, в части касающихся персональных данных субъектов персональных данных, обрабатываемых в них. Рассмотрение документов по организации и выполнению условий обработки персональных данных, обеспечению безопасности персональных данных при их обработке;

17 Роскомнадзор Прокуратура Суд Оператор ПД предупреждение штраф предписание протокол по ст КоАП нарушения по ст , 19.7 КоАП (выявлены в ходе проверки) (нарушения выявлены не в ходе проверки) материалы по жалобам об устранении нарушения Порядок действий при выявлении нарушений

18 * Подать Уведомление об обработке ПДн; * Определить структурные подразделения или должностных лиц, ответственных за обработку ПДн и за обеспечение их безопасности, установить п еречень лиц, допущенных к работе с ПД ; * И * Издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; * П * Принять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ЗоПДн.статьей 19 * Поддерживать соответствие требованиям нормативных документов. Исполнение З о ПДн – ключевые моменты:

19 Документы 1. Приказы : о назначении ответственных за организацию обработки ПДн; о назначении ответственных за обеспечение безопасности ПДн с наделением их полномочий по проведению всех мероприятий, касающихся организации защиты ПДн; об установлении Перечня лиц, допущенных к обработке ПДн; о возложении персональной ответственности на сотрудников, имеющих отношение к обработке ПДн. Внесение соответствующих изменений и дополнений в должностные инструкции. 2. Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн. 3. Форма согласия субъекта ПДн на их обработку в определенных случаях. 4. Регламент допуска сотрудников к обработке ПДн. 5. Издание документов, определяющих политику оператора в отношении обработки персональных данных, включающих в себя: порядок обработки персональных данных (состав обрабатываемых данных, цели и условия обработки, сроки хранения, порядок уничтожения и т.д.); процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений; меры ответственности за нарушение установленного порядка обработки ПДн; порядок ознакомления с данными документами.

20 Ответственность по КоАП РФ Статья Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – влечёт наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей. Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечёт предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

21 Ответственность по КоАП РФ Ч. 1 статьи 19.4 Ч. 1 Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор (контроль), а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной до двух тысяч рублей. Ч.1 статьи 19.5 Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной до двух тысяч рублей; на юридических лиц - от десяти до двадцати тысяч рублей.

22 Ответственность по КоАП РФ Статья 19.7 Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде - влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.

23 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 ЗоПДн, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;статьями Уведомление об обработке ПД (ст. 22 Федерального закона) См. сайт Управления тел. для консультаций ,

24 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Уведомление об обработке ПД (ст. 22 Федерального закона) См. сайт Управления тел. для консультаций ,

25 2 октября 2009 года Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных – открыл в сети Интернет «Портал персональных данных» В рамках работы Роскомнадзора по внедрению практики оказания услуг с использованием инфокоммуникационных технологий операторам предоставлена возможность составления уведомлений об обработке персональных данных в электронной форме непосредственно на «Портале персональных данных»

26

27

28 Информация о Реестре публикуется на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных Поиск оператора

29 Реестр операторов, осуществляющих обработку персональных данных Публичная часть реестра операторов, осуществляющих обработку персональных данных, расположена на официальном сайте Роскомнадзора По состоянию на в реестре операторов, осуществляющих обработку персональные данные, включено операторов, в том числе по Красноярскому краю включено операторов

30 Спасибо за внимание Отдел по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Красноярскому краю Тел.: , , Адрес: Ул. Новосибирская, д. 64«а», г. Красноярск,