1

2 Тема сообщения: О реализации требований законодательства РФ «О персональных данных» в организациях Калужской области Мясников Александр Владимирович – начальник отдела по защите прав субъектов персональных данных, контроля (надзора) в сфере массовых коммуникаций и информационных технологий Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Управление Роскомнадзора по Калужской области

3 Уполномоченные органы в области защиты персональных данных : Федеральный Закон от г. 152-ФЗ «О персональных данных» ФСТЭК России ФСБ России Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. РОСКОМНАДЗОР

4 ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПД: Федеральный закон от 4 июня 2011 г. N 123-ФЗ "О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" Статья 5 Часть 2 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716) дополнить пунктом 5.1 следующего содержания: "5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно- строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;".

5 ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПД: Федеральный закон от 25 июля 2011 г. N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" Статья 25. Заключительные положения 2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года

6 РОСКОМНАДЗОР Реестр Оператор Уведомление Сведения в уведомлении (изменения в 261-ФЗ) 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

7 ИЗМЕНЕНИЯ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПД: Федеральный закон от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (с изменениями от 6 апреля, 27 июня, 1, 11, 18 июля 2011 г.) Статья 7. Требования к взаимодействию с заявителем при предоставлении государственных и муниципальных услуг ч. 2. Запрос заявителя в орган, предоставляющий государственную услугу, в орган, предоставляющий муниципальную услугу, либо в подведомственную государственному органу или органу местного самоуправления организацию, участвующую в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, о предоставлении государственной или муниципальной услуги приравнивается к согласию такого заявителя с обработкой его персональных данных в таких органе или организации в целях и объеме, необходимых для предоставления государственной или муниципальной услуги.частью 1 статьи 1

8 Основные полномочия Роскомнадзора в сфере персональных данных 1.Организация защиты прав субъектов персональных данных. 2. Рассмотрение жалоб и обращений по вопросам, связанным с обработкой персональных данных. 3.Осуществление функций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. 4. Ведение реестра операторов.

9 Полномочия территориального подразделения Роскомнадзора в сфере защиты прав субъектов персональных данных запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью привлекать к административной ответственности виновных в нарушении лиц

10 Статья 3. Основные понятия персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных»

11 Способы обработки персональных данных Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных» -обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; - автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; - распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; - обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

12 Принципы и условия обработки персональных данных: Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных» 1. Обработка персональных данных должна осуществляться на законной и справедливой основе. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

13 Специальные категории персональных данных Сведения, раскрывающие расовое или этническое происхождение субъекта Политические взгляды субъекта Религиозные или философские убеждения Сведения, касающиеся состояния его здоровья, сексуальных наклонностей, судимости Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных»

14 Биометрические персональные данные В число основных физиологических особенностей человека, влияющих на возможность идентификации его личности, входят: отпечатки пальцев отпечатки ладони результаты анализа ДНК образ лица сетчатка глаза особенности строения тела особенности строения отдельных органов и тканей работа желез внутренней секреции различные отклонения в развитии, атавизмы психическое состояние здоровья и др. Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных»

15 Право на обжалование действий или бездействия оператора Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (РОСКОМНАДЗОР) или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Нормативные правовые акты Федеральный закон от ФЗ «О персональных данных»

16 Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Нормативные правовые акты

17 Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (прошел государственную регистрацию 28 января 2010 г ) Приказ Министерства связи и массовых коммуникаций РФ от 30 января 2010 г. 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (прошел государственную регистрацию 24 марта 2010 г ) Нормативные правовые акты

18 Реестр операторов, осуществляющих обработку персональных данных доступен в сети Интернет:

19 Общее количество поступивших уведомлений от операторов, осуществляющих обработку персональных данных на территории Калужского региона с по : 2221

20 Основные виды нарушений, установленные при проверках в сфере ПД: 1. Нарушение установленного порядка обработки персональных данных. 2. Обработка персональных данных без получения письменного согласия субъекта. 3. Непредставление оператором в установленный срок информации об обработке персональных данных или представление неполной (недостоверной) информации.

21 Уголовная ответственность за нарушение требований ФЗ «О персональных данных» ст. 137 УК РФ – незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении; ст. 140 УК РФ – неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации; ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

22 Административная ответственность за нарушение требований ФЗ «О персональных данных» ст КОАП РФ – нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных; ст КОАП РФ – непредставление или несвоевременное представление информации об обработке персональных данных или иной информации по запросу уполномоченного органа; ст КОАП РФ – отказ в предоставлении гражданину документов и материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо предоставление гражданину неполной или заведомо недостоверной информации; ст КОАП РФ – разглашение информации доступ к которой ограничен федеральным законом.

23 Публичная деятельность, информационное обеспечение Размещение объявлений для операторов, обрабатывающих персональные данные в печатных и электронных СМИ Калужского региона, Интернет сайтах. Выступления представителей Управления на семинарах, заседаниях и др. общественных мероприятиях. Размещение актуальной информации по работе в сфере защиты прав субъектов персональных данных, форм заявительных документов и соответствующих нормативных документов на Интернет-сайте Управления. Предупредительно-уведомительная работа с потенциальными операторами ПД (письма и консультации).

24 Объявление для операторов, обрабатывающих персональные данные в Калужском регионе Управление Роскомнадзора по Калужской области напоминает, что на основании Федерального закона от ФЗ «О персональных данных», на операторов, осуществляющих обработку персональных данных, возложена обязанность уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев указанных в п.2 ст. 22 названного закона. Заполненные и подписанные уполномоченным лицом уведомления должны быть направлены в письменной форме в Управление Роскомнадзора по Калужской области по адресу: ул. Дзержинского, д.1/46, г. Калуга,

25 Информацию о деятельности Роскомнадзора по защите прав субъектов персональных данных можно найти на Интернет сайте: pd.rsoc.ru Контакты Управления Роскомнадзора по Калужской области: Адрес: , Россия, Калужская обл.,г. Калуга, ул. Дзержинского, д.1/46, Телефон / факс: , Интернет-сайт Управления: 40.rsoc.ru