1 Тема: Реализация требований Федерального Закона 152-ФЗ «О персональных данных» в части предоставления уведомлений об обработке персональных данных (Управление Роскомнадзора по Республике Хакасия) Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Хакасия

2 Контактная информация: г.Абакан, ул. Щетинкина, 20, г.Абакан, ул. Щетинкина, 20, а/я 100, тел (приемная), тел – по вопросам заполнения уведомлений а/я 100, тел (приемная), тел – по вопросам заполнения уведомлений Сайты: Сайты: 19.rsoc.ru 19.rsoc.ru

3 функции по контролю и надзору за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Государственный надзор и контроль за обработкой ПД Территориальные Управления Роскомнадзора (защита прав субъектов персональных данных) Уполномоченные органы ФСБ России (контроль над обеспечением безопасности) Уполномоченные органы ФСТЭК России (противодействие техническим разведкам и техническая защита информации) Система государственного надзора и контроля функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных

4 Субъекты надзора Объекты надзора Государственный орган Персональные данные Субъекты и объекты государственного надзора (контроля) в области персональных данных Муниципальный орган Юридическое лицо Физическое лицо Специальные ПД Фамилия, имя, отчество Год, месяц, дата рождения и т.д Расовая принадлежность, национальная принадлежность, политические взгляды и т.д. Основные ПД Биометрические ПД Сведения, которые характеризуют физиологические особенности человека

5 Статистика по уведомлениям, поступившим от муниципальных образований Республики Хакасия по состоянию на г.

6 Анализ поступивших уведомлений от МО

7 МО, не подавшие уведомления – выделены красным цветом Городские округа: Абакан Абаза Саяногорск Сорск Черногорск муниципальные районы: Алтайский Аскизский Бейский Боградский Орджоникидзе вский Таштыпский Усть- Абаканский Ширинский Городские поселения (поссоветы): Аскиз Бискамжа Вершина Теи Копьево Усть-Абакан Жемчужный

8 МО, не подавшие уведомления – выделены красным цветом сельские поселения (сельсоветы): Коммунар Туим Шира Аршаново Белый Яр п. Изыхские Копи с. Кирово с. Краснополье с. Новомихайловка с. Новороссийское с. Очуры с. Подсинее с. Аскиз с. Нижняя База с. Балыкса с. Бельтирское с. Бирикчуль с. Верх-Аскиз с. Полтаков с. Кызлас с. Пуланколь с. Усть-Камышта с. Усть-Чуль с. Бея с. Большой Монок с. Бондарево с. Кирба с. Куйбышево с. Новоенисейка с. Новотроицкое с. Сабинка с. Табат с. Боград с. Большая Ерба с. Бородино с. Знаменка с. Первомайское с. Пушное с. Сарагаш с. Советская Хакасия с. Сонское с. Троицкое п. Гайдаровск с. Копьёво с. Июс с. Новомарьяс. Орджоникидзев. с. Приисковое с. Сарала с. Устинкино с. Анчул с. Арбаты п. Кубайка с. Большая Сея д. Бутрахты с. Матур с. Нижние Сиры с. Имек с. Таштып с. Вершино- Биджа с. Весеннее аал Доможаков с. Калинино с. Московское с. Зеленое аал Райков п. Расцвет аал Сапогов с. Усть-Бюр аал Чарков с. Солнечное п. Беренжак с. Борец с. Ворота с. Джирим с. Ефремкино с. Сон с. Соленоозерное аал Малый Спирин с. Фыркал с. Целинное с. Черное Озеро

9 2 октября 2009 года Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных – открыл в сети Интернет «Портал персональных данных» В рамках работы Роскомнадзора по внедрению практики оказания услуг с использованием инфокоммуникационных технологий операторам предоставлена возможность составления уведомлений об обработке персональных данных в электронной форме непосредственно на «Портале персональных данных»

10

11

12 Характерные ошибки, допускаемые операторами при заполнении уведомления 1. В наименовании оператора, адресе оператора В этой строке встречается: -не соответствие наименования официальному, указанному в регистрационных документах; -применяются сокращения; -орфографические ошибки; -не всегда указывается юридический -и почтовый адрес оператора. 2. В цели обработки персональных данных: указывается информация, несоответствующая целям обработки; (например, в целях реализации Федерального закона 152-ФЗ). Цель необходимо формулировать, исходя из функций, указанных в Положении 3. В категориях персональных данных: -вносятся не все категории (часто не указы- ваются сведения о воинском учете, паспорт ные данные, свидетельство о рождении, ИНН, СНИЛС, данные о состоянии здоровья и др.) 4. Категории субъектов: -Указываются не все категории субъектов («забывают» о таких категориях как «ближайшие родственники», «физ.лица, претендующие на замещение вакантных должностей», «Физ.лица, обращающиеся с жалобами, заявлениями, обращениями» );

13 Характерные ошибки, допускаемые операторами при заполнении уведомления 5. В правовом основании: -Делается ссылка только на Федеральный закон 152-ФЗ (должны быть указаны как минимум: ст.85-90ТК РФ, ФЗ 152, Положение о муниципальном органе, ФЗ о муниципальной службе, О работе с обращениями граждан (для МО)); - Не указываются статьи НПА; - не вписываются отраслевые НПА. 6. В перечне действий с персональными данными: -Не указывается сам перечень действий с ПД (сбор, накопление, систематизация и т.д) ; -не указывается, есть ли передача информации -по внутренней сети и сети общего пользования; -не указывается способ обработки персональные данных (неавтоматизированный, автоматизированный, смешанный). 6. В описании мер по обеспечению безопасности: -не раскрываются конкретные организационные и технические меры; -при смешанной обработке не указывается раздельно перечень мер по обеспечению безопасности; -не указывается использование средств шифрования, наименование, серия и номер средства, а так же имеет ли место трансграничная передача ПД. 7. В дате начала обработки персональных данных: -не полностью указывается дата начала обработки ПД (дата должна быть та, которая указана в ИНН!) 8. В сроке или условии прекращения обработки персональных данных: -встречается « бессрочно », « не предусмотрено », т.п. (Необходимо указывать сроки обработки и хранения ПД по каждой из категорий субъектов! т.е. важно, сколько хранятся ПД у оператора )

14 Обращаем внимание! если Вы уже подавали уведомление об обработке персональных данных и, самое главное, включены в реестр операторов (сведения на сайте то новое уведомление подавать не требуется! Новое уведомление подается только в случае изменения сведений указанных в уведомлении (п.7 ст.22). Включенный в реестр оператор обязан уведомить об изменениях в течение десяти рабочих дней с даты возникновения таких изменений (п.7 ст. 22). При этом к новому уведомлению необходимо сделать информационное письмо с указанием, какие изменения вносятся в уведомление и причины этих изменений. если Вы уже подавали уведомление об обработке персональных данных и, самое главное, включены в реестр операторов (сведения на сайте то новое уведомление подавать не требуется! Новое уведомление подается только в случае изменения сведений указанных в уведомлении (п.7 ст.22). Включенный в реестр оператор обязан уведомить об изменениях в течение десяти рабочих дней с даты возникновения таких изменений (п.7 ст. 22). При этом к новому уведомлению необходимо сделать информационное письмо с указанием, какие изменения вносятся в уведомление и причины этих изменений.

15 Выписка из реестра операторов, осуществляющих обработку персональных данных (выдается в соответствии п. 17 Приказа Россвязьохранкультуры от 28 марта 2008 N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных") Письменное обращение оператора, включенного в Реестр, направленное в Службу Выписка из Реестра операторов, осуществляющих обработку персональных данных предоставляется оператору в срок не позднее тридцати дней

16 Информация о Реестре публикуется на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных Поиск оператора

17 Реестр операторов, осуществляющих обработку персональных данных Публичная часть реестра операторов, осуществляющих обработку персональных данных, расположена на официальном сайте Роскомнадзора По состоянию на в реестр операторов, осуществляющих обработку персональны х данны х, включено операторов, в том числе по Республике Хакасия включено 260 операторов

18 Требования действующего законодательства, обязательные для исполнения оператором, предъявляемые к, осуществляемой им обработке персональных данных Обеспечение конфиденциальности персональных данных (ст. 7) -должны быть разработаны соответствующие локальные акты Осуществление обработки специальных категорий персональных данных и биометрических персональных данных (ст.10 и ст.11) должна быть разработана письменная форма с соблюдением требований ст. 9 Федерального закона Создание общедоступных источников персональных данных (ст. 8) Федеральный закон от ФЗ «О персональных данных» Согласие субъекта на обработку его персональных данных (ч.1 ст. 6) - (при необходимости) должна быть разработана письменная форма с соблюдением требований ст. 9 Федерального закона Осуществление трансграничной передачи (ст.12)

19 Требования действующего законодательства, обязательные для исполнения оператором, предъявляемые к, осуществляемой им обработке персональных данных фиксация персональных данных, цели обработки, которых заведомо не совместимы (п. 5) информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации (о факте такой обработки ими персональных данных, о категориях обрабатываемых персональных данных, об установленных особенностях и правилах осуществления такой обработки) (п. 6) -должны быть разработаны соответствующие -локальные акты Соблюдение условий, предъявляемых к типовым формам, содержащим персональных данных (п.7) Постановление Правительства РФ от Обеспечение раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе (п. 9) Соблюдению условий, предъявляемых к журналам, содержащим персональные данные, необходимым для однократного пропуска субъекта на территорию оператора (п.8)

20 Требования действующего законодательства, обязательные для исполнения оператором, предъявляемые к осуществляемой им обработке персональных данных Соблюдение порядка уточнения, обезличивания и уничтожения персональных данных (п.10, п. 12) Соблюдение мер по обеспечению безопасности персональных данных при их обработке: - перечень лиц, осуществляющих обработку персональных данных (п.13); -определение места хранения и соблюдение условий их хранения (п.13., п. 14) ; - локальный акт оператора, устанавливающий перечень мер, необходимых для создания условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, определяющий перечень лиц, ответственных за реализацию указанных мер (п.15) Постановление Правительства РФ от

21 Нормативно - правовые акты в области персональных данных: законодательство Российской Федерации Конституция Российской Федерации от г. Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от ФЗ «О персональных данных» Указ Президента Российской Федерации от 6 марта 1997 года 188 «Об утверждении перечня сведений конфиденциального характера» Постановление Правительства РФ от «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

22 Нормативно - правовые акты в области персональных данных: международные нормы права Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных личного характера от 28 января 1981 г. Директиве 95/46/ЕС Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных от 24 октября 1995 года Федеральным законом от 19 декабря 2005 года 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

23 1.Предписание, основание: п.п.1 ч.1 ст. 19 ФЗ от ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» 2. Заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии, основание: п.п. 6 ст. 23 ФЗ от ФЗ «О персональных данных» 3.Направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений (УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2), связанных с нарушением прав субъектов ПД основание: п.п. 7 ст. 23 ФЗ от ФЗ «О персональных данных» Меры, принимаемые должностными лицами надзорного органа в отношении фактов нарушений, выявленных при проведении проверки

24 4. Привлечение к административной ответственности: Статья 5.39 Кодекса Российской Федерации об правонарушениях административных правонарушениях. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - Наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей Меры, принимаемые должностными лицами надзорного органа в отношении фактов нарушений, выявленных при проведении проверки

25 Статьи Кодекса Российской Федерации об правонарушениях административных правонарушениях Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - Предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Меры, принимаемые должностными лицами надзорного органа в отношении фактов нарушений, выявленных при проведении проверки

26 Статья Кодекса Российской Федерации об административных правонарушениях Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи настоящего Кодекса, - Наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей. Меры, принимаемые должностными лицами надзорного органа в отношении фактов нарушений, выявленных при проведении проверки

27 Спасибо за внимание! Отдел государственного надзора и контроля в сфере связи, информационных технологий в сфере связи, информационных технологий и защиты прав субъектов персональных данных Управления Роскомнадзора по Республике Хакасия Тел.: (приемная), (по уведомлениям) Адрес: ул. Щетинкина,20 г. Абакан,