«Исполнение законодательства в области обработки персональных данных» 2012 г. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области

Контактная информация Адрес Управления Роскомнадзора по Иркутской области , г. Иркутск, ул. Халтурина, д. 7, а/я 169 Сайты 38.rsoc.ru / 38.роскомнадзор.рф rsoc.ru / роскомнадзор.рф pd.rsoc.ru Телефоны/факс 8 (3952) , , , , , , Отдел по защите прав субъектов персональных данных и надзора в сфере информационных технологий Начальник отдела Савченко Александр Леонидович Главный специалист – эксперт Лавров Алексей Геннадьевич Ведущий с пециалист – эксперт Протопопова Анна Алексеевна С пециалист – эксперт Ломакина Мария Владимировна Специалист 1 разряда Цыренжапова Оюна Викторовна

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных» определяет федеральные государственные органы осуществляющие контроль и надзор в области соблюдения требований вышеуказанного закона операторами Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПД, при обработке ПД в государственных информационных системах ПД ч. 8 ст. 19 Административный регламент о проведении проверок (Приказ от г. 312) Административный регламент о ведении реестра операторов (Приказ от г. 346) ФСТЭК России, федеральный орган уполномоченный в области ПД ИТР и ТЗИ ФСБ России, федеральный орган, уполномоченный в области обеспечения безопасности Роскомнадзор уполномоченным органом по защите прав субъектов персональных данных (ст. 23) (Постановление Правительства от г. 228) Контроль и надзор в области обработки персональных данных

Предметы контроля по ФЗ «О персональных данных» Наличие Уведомления об обработке ПД Полнота и достоверность сведений в Уведомлении Соблюдение принципов и условий обработки ПД, (конфиденциальность, согласие, сроки хранения, соблюдение прав субъектов ПД, выполнение обязанностей оператором, и др.) Выполнение заявленных мер безопасности ПД (организационных, технических)

Реестр операторов ПД и деятельность, связанная с обработкой ПД Жалобы, обращения субъекта ПД Плановые проверки (не чаще 1 раза в 3 года, не более 20 рабочих дней (15 р.д. для субъектов малого предпринимательства) Внеплановые проверки (требования Прокуратуры) О защите прав ЮЛ и ИП при государственном контроле (ФЗ- 294) О порядке рассмотрения обращений граждан РФ (ФЗ-59)

6 Нарушения в области обработки персональных данных Проведено плановых и внеплановых проверок за 2012 – 25 Рассмотрено обращений граждан – 58 Рассмотрено обращений граждан – 58

Нормативные правовые акты, регулирующие деятельность в области персональных данных Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.); Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.); Конституция Российской Федерации (ст. 23,24); Конституция Российской Федерации (ст. 23,24); Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (Глава 14 – «Защита персональных данных работника»; Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (Глава 14 – «Защита персональных данных работника»; Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных»; Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных»; Постановление Правительства Российской Федерации от 1 ноября 2012 года 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 1 ноября 2012 года 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 15 сентября «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ; Постановление Правительства Российской Федерации от 15 сентября «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ; Постановление Правительства Российской Федерации от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства Российской Федерации от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных; Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных; Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах защиты информации в информационных системах персональных данных». Приказ ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах защиты информации в информационных системах персональных данных».

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных Оператор (ст. 3) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Федеральные органы государственной власти Исполнительные органы государственной власти субъектов РФ Муниципальные уч. Государственные органы Органы местного самоуправления Центральные аппараты, территориальные органы федеральных органов исполнительной власти Правительства и Администрации субъектов РФ, их структурные подразделения ГУПы, в т.ч. Центры занятости населения ОМСУ всех уровней Больницы, детские сады, коммунальные, службы

Основные положения Федерального Закона от г. 152-ФЗ «О персональных данных Персональные данные Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Распространение персональных данных Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Персональные данные Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Распространение персональных данных Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

- Фамилия, имя, отчество; - год, месяц, дата и место рождения; - Адрес (место регистрации, фактический адрес проживания, номер телефона); - семейное, социальное, имущественное положение (социальные льготы, сведения об имуществе и обязательствах имущественного характера); -Образование (сведения о дипломах, повышения квалификации); - профессия (место работы, стаж работы); - сведения о доходах; - паспортные данные, данные трудовой книжки, данные военного билета; - ИНН; - сведения о пенсионном страховании; Категории персональных данных Специальные персональные данные (ст.10) Биометрические персональные данные (ст.11) Непосредственно персональные данные Категории персональных данных

Специальные категории персональных данных (ст.10) Сведения, раскрывающие расовое или этническое происхождение субъекта, национальная принадлежность Закон допускает возможность одновременной обработки как всех из представленных персональных данных специальной категории, так и отдельных из них в части, касающейся конкретной ситуации. Письменное согласие субъекта персональных данных на их обработку, равно как и общедоступность указанных сведений, являются универсальными основаниями, предоставляющими оператору право на обработку специальной категории персональных данных (ст. 10). Политические взгляды субъекта Религиозные или философские убеждения Сведения, касающиеся состояния его здоровья, интимной жизни, судимости

Биометрические персональные данные (ст.11) В число основных физиологических особенностей человека, влияющих на возможность идентификации его личности, входят: отпечатки пальцев отпечатки ладони результаты анализа ДНК образ лица сетчатка глаза особенности строения тела Особенности строения отдельных органов и тканей работа желез внутренней секреции различные отклонения в развитии, атавизмы психическое состояние здоровья и др. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных Исключение: в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно- исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Согласие субъекта персональных данных на обработку своих персональных данных (ст. 9) Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных законом Федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных лежит на операторе Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя: определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера; Конфиденциальность персональных данных Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 15 учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана; регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; применение мер технической защиты информации. Меры по охране конфиденциальности персональных данных, понимаются разумно достаточными, когда исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя; обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты. Закон предусматривает возможность установления режима, открытости персональных данных, как исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных

Соблюдение требований законодательства в области персональных данных Внешняя работа Внутренняя работа Направить уведомление об обработке ПД Направить уведомление об обработке ПД в уполномоченный орган и иные действия. Связанные в уполномоченный орган и иные действия. Связанные с ведение государственного реестра операторов ст. 22 с ведение государственного реестра операторов ст. 22 Принимать необходимые организационные и технические меры для защиты ПД До начала обработки определить цели обработки, правовые основания обработки, категории ПД и категории субъектов ПД, сроки и условия прекращения обработки ПД Соблюдения требований закона (ст. 6, ст. 7, ст. 9) при передаче (распространении) ПД третьим лицам, в т.ч. при поручении обработки ПД третьим лицам от лица УК обеспечения требований ч. 4 ст. 6 Соблюдения требований закона (ст. 9, 14. ст. 18ст. 20, Соблюдения требований закона (ст. 9, 14. ст. 18 ст. 20, ст. 21, ст. 23при поступлении запроса о предоставлении ст. 21, ст. 23 при поступлении запроса о предоставлении информации от Субъекта ПД или Уполн. органа информации от Субъекта ПД или Уполн. органа Устранить нарушения законодательства, допущенные при обработке ПД, а также по допущенные при обработке ПД, а также по уточнению, блокированию и уничтожению ПД уточнению, блокированию и уничтожению ПД Подготовить документы и провести все необходимые мероприятия в отношении работников обеспечиваю- мероприятия в отношении работников обеспечиваю- щие соблюдение требований Главы 14 (ст ТК) Обеспечить при обработке ПД требования, предусмотренные п.п. 3, 5, 6, 7,8, 13, 15 ПП РФ от 15 сентября 2008 г. 687 Организовать работу и Обеспечить при обработке ПД требования, ПП РФ от , ст. 18.1, 19, ФЗ

Уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД Начало обработки ПД направляется в письменной форме, в т.ч. при помощи электронного портала «Персональные данные» подписанное уполномоченным лицом или направляется в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ Уведомить об изменениях уполномоченный орган по защите прав субъектов ПД в течение десяти рабочих дней с даты возникновения таких изменений. ч. 1 ст. 22 ч. 3 ст. 22 Уведомление п. 7 ст. 22 Работа с уведомлением (внешняя работа) В случае требования уполномоченного органа по защите прав субъектов персональных данных предоставить уточненные сведения ч. 6 ст. 22

Содержание уведомления об обработке персональных данных (п. 3 ст ФЗ) 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; (п. 7 в ред. Федерального закона от N 261-ФЗ) 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; (п. 7.1 введен Федеральным законом от N 261-ФЗ) 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; (п. 10 введен Федеральным законом от N 261-ФЗ) 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Обратите внимание! Операторы, которые осуществляли обработку персональных данных и зарегистрировавшиеся в реестре операторов, осуществляющих обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 ФЗ 152 «О персональных данных»): информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22) фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22) сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22)

Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных 1)наименование (фамилия, имя, отчество), адрес оператора 2)Регистрационный номер записи в Реестре 3)Основания изменений 4) Заполнять необходимо только те поля информационного письма, в которые вносятся изменения

21 Порядок заполнения электронного уведомления

Порядок работы с уведомлением на сайте Порядок работы с уведомлением на сайте 1 шаг

2 шаг

24 Кадровая служба (кадровик) в рамках представления интересов работодателя обязан выполнять все мероприятия по защите ПД работников с момента заключения труд. договора до прекращения обработки ПД ОПЕРАТОР Оператор в подаваемом уведомлении закрепляет: 1. Цели - 1. Цели - кадровый и бухгалтерский учет, тр. отношения, соблюдения условий закл. дог.; 2. Категории субъектов ПД – 2. Категории субъектов ПД – работники (служащие); 3. Правовые основания – 3. Правовые основания –ТК и иные НПА по трудовой деятельности ст. 86 ТК Обработка ПД работника может осуществляться исключительно в целях обеспечения законов и иных НП актов, содействия работникам в трудоустройстве, обучении и продвижении по службе и т.д. Соблюдение требований, предусмотренных Главой 14 (ст ТК) (внутренняя работа) Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области Оператор с момента приема на работу должен ознакомить под роспись всех работников (сотрудников) с нормативными, локальными документами, регламентирующими обработку ПД в организации в т.ч. с положением регламентирующим правила обработки персональных данных работников. Порядок хранения и использования персональных данных работников устанавливается (работодателем) с соблюдением требований настоящего Трудового кодекса и иных федеральных законов. Оператор должен разработать и утвердить документ (положение, правила), регламентирующий правила обработки персональных данных работников. Утвердить приказом (распоряжением)перечень (списки) лиц, обрабатывающих персональные данные; Утвердить приказом (распоряжением)перечень (списки) лиц, обрабатывающих персональные данные; ст. 87 ТК

Соблюдения требований законодательства при обработке (внутренняя работа) При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия: а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. п. 8 Правил, утв. ПП 687 от г При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. п. 7 Правил, утв. ПП 687 от г

Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом ОПЕРАТОР Обработка ПД третьими лицами должна соответствовать целям, указанным в предоставленном Субъектом согласии При наличии согласия Субъекта ПД на такую передачу если иное не предусмотрено ст. 6 Передача третьим лицам (внешняя работа) ОПЕРАТОР Поручение обработки третьим лицам (внешняя работа) При наличии согласия Субъекта ПД на такую обработку (если данные не обезличены) Существенное условие включаемое в договор согласно ч. 3 ст. 6 обеспечение конфиденциальности и безопасности поручаемых обработке ПД Организация (третье лицо)

Право субъекта персональных данных на доступ к своим персональным данным Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными (ч. 1 ст. 14): перечень обрабатываемых персональных данных и источник их получения; подтверждение факта обработки персональных данных оператором, а также цель такой обработки; способы обработки персональных данных, применяемые оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Право на обжалование действий или бездействия оператора Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядок.

Обязанности оператора при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 4 ст. 14 настоящего Федерального закона (ч.1 ст.18). разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные (ч.2 ст.18). 1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных (кроме случаев, когда ПДн общедоступны или представлены про закону). Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию ( ч.3 ст. 18):

Уполномоченный орган по защите прав субъектов персональных данных запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию Имеет право: осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона

Ответственность оператора за нарушение порядка работы с персональными данными За виновные действия нарушающие требования Федерального Закона 152–ФЗ «О персональных данных» операторы несут ст. 24 Увольнение ст. 81, 90 Трудового Кодекса Дисциплинарную Административную Гражданскую Уголовную ст. ст., 19.7, 13.11, КоАП Возмещение убытков, комп. морального вреда ст. 139 ст. 137, 140, 272 УК

Спасибо за внимание! 2012 г. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области Начальник отдела по защите прав субъектов персональных и правового обеспечения Управления Роскомнадзора по Иркутской области – Савченко Александ Леонидович