1 Уведомление об обработке (о намерении осуществлять обработку) персональных данных. Процедура его оформления и предоставления в Управление Роскомнадзора по Республике Саха (Якутия) Кириллова Ольга Валентиновна Заместитель руководителя Управления Роскомнадзора по Республике Саха (Якутия)
Нормативно-правовые документы Ст.24 Конституции РФ- запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы; ФЗ «О персональных данных» от г 152-ФЗ; ФЗ «Об информации, информационных технологиях и о защите информации» от г 149-ФЗ Глава 14 Трудового кодекса РФ от ФЗ; ГК РФ (ст.152 защита чести, достоинства и деловой репутации); УК РФ (ст.137 нарушение неприкосновенности частной жизни); Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Приказ Россвязькомнадзора от «О внесении изменений в Приказ Россвязькомнадзора от 17 июля 2008 г. 8 «Об утверждении образца формы уведомления об обработке персональных данных». Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от г.
Ч. 1 ст. 22 ФЗ 152 «О персональных данных». Уведомление об обработке персональных данных Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уполномоченным органом на территории Республики Саха (Якутия) является Управление Роскомнадзора 3
Уведомление должно содержать следующие сведения 4
Полное и сокращенное наименование организации по Уставу либо Положению под наименованием: -юридический и почтовый адреса оператора; - коды классификатора: ИНН; КПП; ЕГРЮЛ; ОГРН; ОКПО; ОКВЭД; - дата государственной регистрации; -форма собственности (государственная, собственность субъекта РФ; муниципальная, частная); -банковские реквизиты (наименование банка; БИК; номер расчетного счета); -номер телефона / факса; адрес электронной почты; -Ф.И.О. руководителя. 5
Правовое основание обработки: Нормативные правовые акты Российской Федерации (Конституция РФ, Кодексы, Федеральные законы, постановления Правительства Российской Федерации, приказы министерств и ведомств, Положения) (с указанием статей) – относящиеся к непосредственной деятельности организации; Нормативные правовые акты субъекта Российской Федерации (Законы РС(Я), постановления и распоряжения правительства РС(Я) – относящиеся к непосредственной деятельности организации; Локальные нормативные акты (решения городской Думы, решения Собрания народных депутатов, распоряжения и постановления главы администрации муниципального образования, Уставы, Положения, зарегистрированные в налоговом органе, приказы руководителя по учреждению, наименование лицензии, номер, дата ее выдачи на осуществляемый вид деятельности с указанием условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных). 6
Цель обработки персональных данных В соответствии с учредительными документами (Уставом, Положением) и фактическими целями, например: -Оказание (государственных) образовательных услуг; -Осуществление образовательной деятельности. 7
Категория персональных данных: Указываются основные категории персональных данных, например: Ст. 3 ФЗ 152. ПЕРСОНАЛЬНЫЕ ДАННЫЕ: Фамилия, имя, отчество Дата, месяц, год рождения Адрес Доходы Сведения об образовании Сведения о профессии Социальное положение Сведения о семейном положении Сведения об имущественном положении Другая информация (см.слайд 9) Ст. 10 ФЗ 152. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ: Расовая принадлежность Национальная принадлежность Политические взгляды Философские убеждения Религиозные убеждения Сведения о состоянии здоровья Ст. 11 ФЗ ФЗ 152. БИОМЕТРИЧЕСКИЕ ДАННЫЕ: (сведения, которые характеризуют физиологические особенности человека: сведения дактилоскопической регистрации: отпечатки пальцев, ладони; результаты анализа ДНК; образ лица; сетчатка глаза; особенности строения тела, отдельных органов и тканей; отклонения в развитии; атавизмы; психическое состояние здоровья) 8
Категории персональных данных, обрабатываемые оператором, подпадающие под понятие –другая информация : например: Паспортные данные; Пол; Гражданство; Сведения о состоянии воинского учета; Сведения о родителях (опекунах), о законных представителях; Номер телефона (в том числе сотового); Сведения о повышении квалификации; об аттестации и иные сведения, о наградах и иные. 9
Категории субъектов, персональные данные которых обрабатываются Физические лица: - работники, состоящие в трудовых отношениях с оператором; - обучающиеся (школьники, студенты), их родители или законные представители и иное. 10
Обработка вышеуказанных данных будет осуществляться путем примеры способов обработки: Неавтоматизированная обработка персональных данных (обработка данных при непосредственном участии человека без использования средств автоматизации) ( см. ч. 1 Глава 1 ПП РФ от ) Автоматизированная обработка (при обработке используются информационные системы) персональных данных с передачей полученной информации по сети юридического лица либо с использованием сети общего пользования Интернет, либо без передачи полученной информации; Смешанная обработка персональных данных (применяются 1, 2 способы одновременно) с передачей полученной информации по сети юридического лица либо с использованием сети общего пользования Интернет либо без передачи полученной информации. 11
Организационные меры по обеспечению безопасности: Определение мест хранения персональных данных (материальных носителей); Утверждение перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, ответственных за реализацию принятых мер по обеспечению безопасности ПД; учет лиц, имеющих доступ к ПД и лиц, кому данная информация передается; Использование антивирусного программного обеспечения (наименование, версия); Обеспечение конфиденциальности персональных данных (определение перечня мер, необходимых для обеспечения безопасности персональных данных; ограничение доступа к ПД путем установления порядка обращения с ПД и постоянного контроля за его соблюдением;); Определение способов резервного копирования персональных данных на материальные носители (электронные: диски, дискеты, флэш-карты; бумажные носители); Разработка и утверждение локальных актов (приказов, положений); Обучение лиц, использующих средства защиты информации, правилам работы с ними; Иные меры. 12
Технические меры по обеспечению безопасности: - Использование шифровальных (криптографических) средств; - Классификация информационных систем; - Размещение информационных систем, специального оборудования и охрана помещений, в которых ведется работа с персональными данными; - Организация режима обеспечения безопасности в этих помещениях (мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным); - Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - Проверка готовности средств защиты к использованию с составлением заключений о возможности их эксплуатации; - Иные меры. 13
Дата начала обработки персональных данных Указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, обезличивание, блокирование, уничтожение персональных данных.(например -когда начала свою деятельность организация) 14
Срок или условие прекращения обработки персональных данных: Указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных (см. Устав либо Положение учреждения/предприятия; лицензионные условия) например: Прекращение деятельности учреждения. 15
Шифрование. например: Шифрование используется; Шифрование не используется. 16
В случае использования оператором, осуществляющим обработку персональных данных, шифровальных средств указываются следующие сведения: Наименование, изготовитель, серийные номера средств шифрования; Уровень криптографической защиты персональных данных; Уровень защиты от утечки по каналам; Уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями, утвержденными руководством 8 Центра Федеральной службы безопасности Российской Федерации от /
Трансграничная передача персональных данных Трансграничная передача данных –передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. например: Трансграничная передача: да / нет. Электронное уведомление: выбор государства 18
Основные требования к оформлению и предоставлению Уведомления оператором: Оформление на фирменном бланке учреждения/предприятия либо с проставлением углового штампа, с исходящим номером и исходящей датой; Предоставление экземпляра в Управление Роскомнадзора по Республике Саха (Якутия) любым способом доставки - почта, курьер; Уведомление, должно быть направлено в письменной форме, на бланке и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации; В случае изменения сведений, оператор обязан уведомить в письменном виде об изменениях Управление Роскомнадзора по Республике Саха (Якутия) в течение 10 рабочих дней с даты возникновения таких изменений, предоставив новое уведомление (ч. 2 ст. 22 ФЗ 152). 19
В сети «Интернет» по адресу функционирует портал персональных данных. На нем размещена электронная форма уведомления об обработке персональных данных для оперативного заполнения с последующим направлением уведомления в Управление Роскомнадзора по Республике Саха (Якутия). 20
21
Реквизиты Управления Роскомнадзора по Республике Саха (Якутия) Местонахождения: г. Якутск, ул. Курашова, д.22; Почтовый адрес: , г. Якутск, ул. Курашова, 22; Адрес электронной почты: Факс: ; Адрес сайта Управления, где можно заполнить электронную форму Уведомления : (Электронные формы заявления – заполнить форму заявления ( о намерении осуществлять обработку) персональных данных); Адрес портала: где также можно заполнить электронную форму Уведомления. Контактный телефон: (4112)
23 БЛАГОДАРИМ ЗА ВНИМАНИЕ !