Салихов Ильдар Амирович Управление Роскомнадзора по Республике Башкортостан Главный специалист-эксперт отдела по защите прав субъектов персональных данных

Основные определения Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Основные определения Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Основные определения Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Основные определения Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Нормативно-правовая база 1. Федеральный закон «О персональных данных» от ФЗ (особое внимание уделить ст.ст. 6, 7, 10, 18.1, 19, 22). 2.«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утв. постановлением Правительства РФ 1119 от «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утв. постановлением Правительства РФ 687 от «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утв. Постановлением Правительства РФ 211 от

Ответственность Кодекс Российской Федерации об административных правонарушениях (Федеральный закон от ФЗ), ст Отказ в предоставлении гражданину информации; ст Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных); ст Разглашение информации с ограниченным доступом; ст Непредставление сведений (информации). Уголовный кодекс Российской Федерации (Федеральный закон от ФЗ), ст Нарушение неприкосновенности частной жизни.

Обязанности оператора Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и иными соответствующими нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей предусмотренных Федеральным законом и иными НПА.

Принимаемые операторами меры Назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

Принимаемые операторами меры Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Принимаемые операторами меры Издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

Принимаемые операторами меры Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников Принимаемые операторами меры

Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и соответствующим НПА, требованиям к защите персональных данных, политике оператора Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Принимаемые операторами меры

Обработка персональных данных, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Принимаемые операторами меры

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором Принимаемые операторами меры

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, должны соблюдаться следующие условия: 1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения, предусмотренные п. 8 Постановления Правительства 687 от ; 2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается Принимаемые операторами меры

Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; Обязанности оператора при автоматизированной обработке персональных данных

5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Обязанности оператора при автоматизированной обработке персональных данных

Оператор обязан предоставить документы и локальные акты определяющие обработку персональных данных и (или) иным образом подтвердить принятие мер по запросу уполномоченного органа по защите прав субъектов персональных данных. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса. Обязанности оператора

Уведомление об обработке персональных данных Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. На территории Республики Башкортостан уполномоченным органом по защите прав субъектов персональных данных является Управление Роскомнадзора по Республике Башкортостан Обязанности оператора:

На официальном сайте Управления Роскомнадзора по РБ размещены форма уведомления, типовые образцы, рекомендации по заполнению

Уведомление об обработке персональных данных можно заполнить в электронном виде. Заполненное уведомление необходимо распечатать, подписать руководителем и направить почтой в адрес Управления Роскомнадзора по РБ: , г. Уфа, ул. 50 лет Октября, 20/1 Телефон «горячей линии» (347)

Проверить наличие организации в Реестре и просмотреть информацию об уведомлении можно просмотреть на Портале

1. Обработка избыточных персональных данных, не предусмотренных Трудовым кодексом, Налоговым кодексом и иными федеральными законами. 2. Передача персональных данных без письменного согласия субъектов (например, направление сведений в Сбербанк, Урали Сиб, передача сведений для участия в конкурсах и т.д.). 3. Ведение журнала учета посетителей без составления акта, предусмотренного п.8 постановления Правительства 687 от Неознакомление сотрудников, осуществляющих обработку персональных данных, с требованиями законодательства, а также с внутренними документами. 5. Неознакомление работников с их правами по обработке их персональных данных. Отсутствие документа, регламентирующего правила обработки персональных данных сотрудников. Часто встречаемые нарушения:

СПАСИБО ЗА ВНИМАНИЕ! (347)