Роскомнадзор: регулирование деятельности кредитных потребительских кооперативов Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу

Руководитель Сахаров Дмитрий Владимирович Адрес ул. Галерная, д. 27, Санкт-Петербург, BOX 1048, Санкт-Петербург, Телефон (812) Факс (812) Сайт 78.rkn.gov.ru Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу

Государственная функция по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (административный регламент утвержден приказом Минкомсвязи России от ). Государственная услуга «Ведение реестра операторов, осуществляющих обработку персональных данных» (административный регламент утвержден приказом Минкомсвязи России от ).

Государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Проведение плановых и внеплановых проверок Федеральный закон от ФЗ (ред. от ) "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" Рассмотрение обращений граждан Федеральный закон от ФЗ (ред. от ) "О порядке рассмотрения обращений граждан Российской Федерации"

Ведение реестра операторов, осуществляющих обработку персональных данных Внесение уведомления об обработке (о намерении осуществлять обработку) персональных данных Внесение информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Предоставление выписки из реестра операторов, осуществляющих обработку персональных данных Рассмотрение заявления об исключении сведений из реестра операторов, осуществляющих обработку персональных данных

Федеральная служба безопасности Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Контролирующие организации в сфере защите персональных данных Федеральная служба по техническому и экспортному контролю Государственная инспекция труда

Федеральный закон от г. 152-ФЗ «О персональных данных» Постановление Правительства РФ от «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от г «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Основные нормативные акты, выполнение которых проверяется Роскомнадзором

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г.) Трудовой кодекс РФ от года 197-ФЗ Нормативные акты в сфере защиты персональных данных других ведомств

Условием обработки персональных данных является согласие субъекта персональных данных, предусмотренное требованиями ч. 4 ст. 9 Федерального закона 152-ФЗ «О персональных данных» Письменное согласие субъекта персональных данных должно включать в себя: фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн цель обработки ПДн перечень ПДн, на обработку которых дается согласие субъекта перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн срок, в течение которого действует согласие, порядок его отзыва, а также подпись субъекта ПДн Основные требования Федерального закона 152-ФЗ «О персональных данных» к обработке персональных данных

ч. 5 ст. 6 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. ч. 3 ст. 6 В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. ч. 3 ст. 9 Обязанность предоставить доказательство получения согласия субъекта ПД возлагается на оператора ПД. Основные требования Федерального закона 152-ФЗ «О персональных данных» к обработке персональных данных

ч. 1 ст. 15 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. ч. 1 ст Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. ст. 7 Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Основные требования Федерального закона 152-ФЗ «О персональных данных» к обработке персональных данных

Основные требования 152–ФЗ «О персональных данных» ч. 1 ст. 19 ч. 1 ст. 18 ч. 7 ст. 14 Оператор при обработке персональных данных обязан принимать необходимые правовые организационные и технические меры для защиты персональных данных от случайного и несанкционированного доступа к ним При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона Субъект персональных данных имеет право на получение следующей информации, касающейся обработки его персональных данных: 1. подтверждение факта обработки данных и цель такой обработки; 2. способы обработки персональных данных, применяемые оператором; 3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 4. перечень обрабатываемых данных и источник их получения; 5. сроки обработки персональных данных, в том числе сроки их хранения; 6. сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных. Обязанности оператора при обработке персональных данных

ч. 3 ст. 18 Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона «О персональных данных», оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения ПД. ч. 1 ст. 20 Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя. Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных»

ч. 3 ст. 21 ч. 4 ст. 21 В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку таких данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами либо договором, стороной которого является субъект персональных данных Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных»

ч. 5 ст. 21 ч. 1 ст В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных»

Ч. 2 ст Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных»

В электронной форме с электронной цифровой подписью В электронной форме с электронной цифровой подписью Уведомление Ст. 22 ФЗ 152-ФЗ «О персональных данных» Оператор до начала обработки ПД обязан уведомить Уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку ПД В письменной форме с подписью уполномоченного лица В письменной форме с подписью уполномоченного лица Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных»

Несоответствие содержания письменного согласия субъекта ПДн на обработку персональных данных требованиям законодательства РФ. Отсутствие в поручении лицу, которому оператором поручается обработка ПДн, обязанности соблюдения конфиденциальности ПДн и обеспечения их безопасности, а так же требований к защите обрабатываемых ПДн. Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Отсутствие у оператора места (мест) хранения ПДн (материальных носителей), перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. Поручение иному лицу осуществлять обработку ПДн без согласия субъекта ПДн. Типичные нарушения требований законодательства

Административные правонарушения в области персональных данных Статья Статья Статья Статья Статья Статья 19.7 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПД) Нарушение правил защиты информации: нарушение условий лицензии; использование несертифицированных ИС, баз и банков данных Незаконная деятельность в области защиты информации Разглашение информации с ограниченным доступом Нарушение требований законодательства о хранении документов Непредставление сведений (информации) штраф штраф, конфискация штраф штраф, конфискация, приостановление деятельности

Сейчас: предупреждение или наложение административного штрафа на граждан в размере [ ] рублей; на должностных лиц – [ ] рублей; на юридических лиц - от [ ] рублей. Проект изменений в ст

В проекте: Обработка персональных данных без согласия субъекта (субъектов) персональных данных, а равно обработка персональных данных с нарушением установленной законом формы согласия Незаконная обработка специальных категорий персональных данных Несоблюдение условий трансграничной передачи персональных данных. Существенное увеличение размера штрафов: до 2 % совокупного дохода за прошедший отчетный год, но не менее 700 тысяч рублей. Проект изменений в ст

Уголовные преступления в области персональных данных Статья 137 Статья 138 Статья 140 Статья 155 Нарушение неприкосновенности частной жизни Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений Отказ в предоставлении гражданину информации Нарушение тайны усыновления (удочерения) штраф, либо обязательные работы, либо исправительные работы, либо арест штраф, либо обязательные работы, либо исправительные работы штраф, либо лишение права занимать определенные должности или заниматься определенной деятельностью штраф, либо исправительные работы, либо арест с лишением права занимать определенные должности или заниматься определенной деятельностью

Статья 183 Статья 272 Статья 273 Статья 274 Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Неправомерный доступ к компьютерной информации Создание, использование и распространение вредоносных компьютерных программ Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и ИКС штраф, либо штраф с лишением права занимать определенные должности или заниматься определенной деятельностью, либо лишение свободы штраф, либо исправительные работы, либо лишение свободы лишение свободы и штраф лишение права занимать определенные должности или заниматься определенной деятельностью, либо обязательные работы, либо лишение свободы Уголовные преступления в области персональных данных

Спасибо за внимание! Семёнов Илья Сергеевич И.о. начальника отдела по защите прав субъектов персональных данных и надзору в сфере информационных технологий (812) Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу