Государственный контроль и надзор за деятельностью операторов

Скачать презентацию Государственный контроль и надзор за деятельностью операторов

79aef80c643a8ceb5423b7b5af28343d.ppt

Количество слайдов: 95

«Государственный контроль и надзор за деятельностью операторов персональных данных» МАКИН Владимир Виталиевич Начальник отдела по защите прав субъектов персональных данных и надзора за информационными технологиями Управления Роскомнадзора по Пермскому краю тел. 233 -29 -23, 233 -25 -52 1

История вопроса Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28. 01. 1981) EST № 108 … Федеральный закон от 19. 12. 2005 № 160 -ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 2

Федеральный закон от 27. 07. 2006 № 152 -ФЗ «О персональных данных» (вступил в силу в январе 2007 года !!!) План подготовки проектов нормативных актов, необходимых для реализации Федерального закона "О персональных данных" (утв. распоряжением Правительства РФ от 15. 08. 2007 № 1055 -р) 3

Законодательство РФ в области персональных данных Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства РФ от 15. 09. 2008 № 687 Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утверждённые постановлением Правительства РФ от 06. 07. 2008 № 512 4

Законодательство РФ в области персональных данных Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённое постановлением Правительства РФ от 17. 11. 2007 № 781 Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК, ФСБ, Мининформсвязи России от 13. 02. 2008 № 55/86/20 (регистр. № 11462 в Минюсте) Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК от 05. 02. 2010 № 58 (регистр. № 16456 в Минюсте) 5

Другие НПА, прямо или косвенно связанные с обработкой персональных данных, в том числе: - Указ Президента РФ «Об утверждения перечня сведений конфиденциального характера» ; - Трудовой кодекс РФ; - ФЗ «Об актах гражданского состояния» ; - ФЗ «О Государственной автоматизированной системе Российской Федерации «Выборы» ; - ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования» ; - ФЗ «О воинской обязанности военной службе» ; - ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» ; - ФЗ «О государственном банке данных о детях, оставшихся без попечения родителей» ; - ФЗ «О связи» ; - ФЗ «Об информации информационных технологиях и о защите информации» ; - Правила регистрации и снятия граждан РФ с регистрационного учёта по месту пребывания и по месту жительства … (ПП РФ); - и т. д. (более 30 наименований). ВСЕ ДОЛЖНЫ БЫТЬ ПРИВЕДЕНЫ В СООТВЕТСТВИЕ С ФЗ-152 !!! 6

Федеральный закон «О персональных данных» (основное содержание) • • Определил основные понятия в области ПД. Установил принципы, условия и порядок обработки ПД. Определил права субъекта ПД. Установил обязанности оператора ПД, в том числе: - по его регистрации; - по обеспечению безопасности ПД при их обработке. • Назначил уполномоченный орган по защите прав субъектов ПД, возложил на него полномочия по обеспечению контроля и надзора за соответствием обработки ПД требованиям законодательства в области ПД, разграничил полномочия по контролю и надзору между Роскомнадзором, ФСБ России и ФСТЭК России в зависимости от категории и способа обработки ПД • Определил ответственность за нарушение требований 7 законодательства в области ПД.

Основные понятия Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД Обработка ПД - действия (операции) с ПД, включая ПД сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение ПД Распространение ПД - действия, направленные на передачу ПД определенному кругу лиц (передача персональных данных) или на ознакомление с ПД неограниченного круга лиц, в том числе обнародование ПД в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом 8

Основные понятия Персональные данные - любая информация, относящаяся к данные определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т. ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Специальные ПД – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Биометрические ПД – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность 9

Принципы обработки ПД Законность целей и способов обработки ПД и добросовестность Соответствие целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора Достоверность ПД, их достаточность для целей обработки, недопустимость обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД Соответствие объёма и характера обрабатываемых ПД, способов обработки ПД данных целям обработки ПД Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем ПД Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении 10

Основные условия обработки ПД 1. Согласие субъекта ПД, в том числе письменное. 2. Соблюдение конфиденциальности оператором и третьим лицом. 3. Обработка специальных ПД не допускается (за исключением установленных случаев). 4. Обработка биометрических ПД только при письменном согласии (за исключением установленных случаев). 5. Особый порядок трансграничной передачи ПД. 6. Особенности обработки ПД в государственных или муниципальных ИС ПД. 11

Основные права субъекта ПД • • Получать сведения об операторе ПД. Иметь доступ к своим ПД. • Требовать уточнение, блокирование, уничтожение ПД. • Отзывать согласие на обработку ПД. • Получать информацию, относительно обработки своих ПД (подтверждение факта обработки, цели и способы обработки, кому доступны, перечень ПД, источник получения ПД, сроки обработки, в т. ч. хранения, … ). • Требовать прекратить обработку ПД в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации с использованием средств связи без предварительного согласия. • Обжаловать действия или бездействие оператора в уполномоченный орган или суд. • Защищать права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке ВНИМАНИЕ: права в отдельных случаях ограничены !!! 12

Основные обязанности оператора ПД Перед уполномоченным органом • Уведомлять об обработке ПД. • Сообщать изменения сведений. • Предоставлять сведения по запросу. • Сообщать об устранении нарушений. • … Перед субъектом ПД - Давать информацию о себе и обработке ПД. - Разъяснять субъекту ПД … - Уточнять, блокировать, уничтожать ПД … - Информировать об устранении нарушений … - … При обработке ПД принимать необходимые организационные и технические меры для защиты ПД !!! 13

Уведомление об обработке ПД должно содержать сведения 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки ПД; 3) категории ПД; 4) категории субъектов, ПД которых обрабатываются; 5) правовое основание обработки ПД; 6) перечень действий с ПД, общее описание используемых оператором способов обработки ПД; 7) описание мер, которые оператор обязуется осуществлять при обработке ПД, по обеспечению безопасности ПД при их обработке; 8) дата начала обработки ПД; 9) срок или условие прекращения обработки ПД. См. сайт Управления http: //59. rsoc. ru форма уведомления рекомендации по заполнению был пример уведомления 14

При обработке персональных данных в информационных системах персональных данных и использовании шифровальных (криптографических) средств в уведомлении указываются сведения: Класс информационной системы (К 1/ К 2/ К 3/ К 4). Наименование, регистрационные номера и производители используемых криптографических средств. Уровень криптографической защиты (КС 1/ КС 2/ КС 3/ КВ 1/ КВ 2/ КА 1). Уровень специальной защиты от утечки по каналам побочных излучений и наводок (КС/ КВ/ КА). Уровень защиты от несанкционированного доступа (АК 1/ АК 2/ АК 3/ АК 4/ АК 5/ АК 6). 15

Уведомление об обработке ПД Реестр операторов, осуществляющих обработку ПД Административный регламент Роскомнадзора по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» 16

Результаты регистрации операторов • • На 11. 10. 2010 в реестре операторов, осуществляющих обработку персональных данных: всего операторов РФ – 138 699; операторов Пермского края – 2 742, из них: - государственные органы – 216; - муниципальные органы – 319; - юридические лица – 2 107; - физические лица (ИП) – 100. См. сайт Роскомнадзора http: //pd. rsoc. ru Зарегистрировались в реестре только 5, 4% операторов Пермского края !!!? ? ? 17

Федеральный закон от 27. 07. 2006 № 152 -ФЗ «О персональных данных» : Статья 23. Уполномоченный орган по защите прав субъектов персональных данных Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. 18

Организационная структура уполномоченного органа по защите прав субъектов ПД Министерство связи и массовых коммуникаций РФ (Минкомсвязь России) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) ранее – Россвязьнадзор, Россвязьохранкультура, Россвязькомнадзор Управление … Консультационный совет Управление правового обеспечения Управление по защите прав субъектов ПД отделы организации ведения реестра организации контроля … отделы ПО в сфере ПД анализа, методич. обеспеч-я территориальные органы ТО 1 … ТО 59 Управление Роскомнадзора по Пермскому краю … ТО 78 отделы … по защите прав субъектов ПД … 19

Основные функции уполномоченного органа по защите прав субъектов персональных данных Рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принятие соответствующих решений Контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных 20

Рассмотрение обращений (заявлений, жалоб) субъектов персональных данных и защита их прав – основная функция ! 21

Регламент работы с обращениями определяют: Федеральный закон от 02. 05. 2006 № 59 -ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» Федеральный закон от 27. 07. 2006 № 152 -ФЗ «О персональных данных» (Глава 3. Права субъекта персональных данных. Глава 4. Обязанности оператора) 22

Статистика рассмотренных обращений (жалоб) Субъект ПД Жалоба на Оператора Результат рассмотрения 1 Гражданин Камалетдинов «Аsknet AG - Company Headguarters» (Германия) Нарушение прав не установлено 2 Гражданин Колесов ОАО «Уралсвязьинформ» , ООО «Экспресс – Лизинг» Нарушение прав не установлено 3 Гражданине Пономарёв, Сероев ЗАО «Тинькофф Кредитные Системы» (г. Москва) Гражданка Бурцева ЗАО «Юни. Кредит Банк» (г. Москва), ООО «Пермский долговой дом» № п/п 4 Примечание Оказана Оператор наказан методическая в административпомощь ном порядке Выявлены признаки нарушений Пермский оператор наказан в административном порядке 23

Субъект ПД Жалоба на Оператора Результат рассмотрения Примечание 5 Гражданин Айдаров Фирма Кирби (13 юр. лиц) ООО «Чистый дом-Пермь» Выявлены нарушения Оператор наказан в административном порядке 6 Гражданин Бабин Магазин «Техносила» в ТЦ «Айсберг» Нарушение прав не установлено 7 Гражданин Гордин ФГУП «Почта России» 8 Гражданин Красников ООО «Городская курьерская служба» № п/п Разъяснено Отражено в акте плановой проверки Выявлено Предписание, нарушение в протокол по Ко. АП области связи 24

№ Субъект ПД Жалоба на Оператора 9 Гражданин Малтабара НП «Виртуальный Клуб 10 Уполномоченный по правам человека в Пермском крае п/п Юристов» По событиям в клубе «Хромая лошадь» Результат рассмотрения Примечание Меры приняты 11 Гражданин Шваб ООО УК «Приборкомплект» , ТСЖ «Наш Дом» Выявлены нарушения По ООО УК «Приборкомплект» материалы в суде 12 Гражданин Старков ООО «Ремоз» , ОАО ВЦ «Инкомус» Выявлены нарушения По ООО «Ремоз» материалы в суде 25

Субъект ПД Жалоба на Оператора Результат рассмотрения 13 Гражданин Парфентьев Минсоцразвития Пермского края, АНО «Центр социальнопсихологической помощи населению» , ООО УК «Социальная Миссия» На рассмотрении 14 Гражданин Суслов ТСЖ «Серединная-3» На рассмотрении № п/п Примечание 26

Возможные решения по результатам рассмотрения обращений Предписание оператору уточнить, блокировать или уничтожить недостоверные или полученные незаконным путём персональных данных. Приостановление или прекращение обработки персональных данных оператором. Обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных. Ходатайство о приостановлении действия или аннулировании лицензии у оператора. Привлечение оператора к административной ответственности. Ходатайство о возбуждении уголовных дел. 27

Проверки – способ профилактики жалоб субъектов персональных данных ! 28

Полномочия по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных установлены: Положением о Роскомнадзоре (утв. постановлением Правительства РФ от 16. 03. 2009 № 228) см. Интернет-сайт http: //www. rsoc. ru/ Положением об Управлении Роскомнадзора по Пермскому краю (утв. Руководителем Роскомнадзора 22. 05. 2009) см. Интернет-страницу http: //59. rsoc. ru/ 30

Регламент проведения проверок Федеральный закон от 26. 12. 2008 № 294 -ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» Постановление правительства РФ «Об утверждении Положения об особенностях организации и проведения проверок при осуществлении Федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (проект) Административный регламент проведения проверок Роскомнадзором при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (утв. Приказом Роскомнадзора от 01. 12. 2009 № 630, рег. № 16095 от 28. 01. 2010 в Минюсте) 31

Мероприятия по контролю (Административный регламент проведения проверок) Рассмотрение документов по организации и выполнению условий обработки персональных данных, обеспечению безопасности персональных данных при их обработке; Обследование информационных систем персональных данных, в части касающихся персональных данных субъектов персональных данных, обрабатываемых в них. 32

Система государственного контроля и надзора в области ПД (по ФЗ-152) Полномочия: обеспечение контроля и надзора за соответствием обработки ПД требованиям законодательства РФ в области ПД Полномочия: контроль и надзор за выполнением - требований к обеспечению безопасности ПД при их обработке в ИС ПД; - требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне ИС ПД Роскомнадзор ФСБ России ФСТЭК России 33

Взаимодействие уполномоченных органов (реально в данное время) ЦА ФСБ России е , к ла сс ни ИС ПД ле че ив ед ст пр е ни ле пр ав ав ст ле ед в ле че ни е» е ни ва ро иф «ш пр и ни пр е ЦА ФСТЭК России сведения запрос уведомл. пр ав о ав пр о ЦА Роскомнадзора Оператор ПД Запрашивать и получать информацию. Проверять сведения, для чего привлекать ФСБ, ФСТЭК. Требовать уточнить, блокировать, уничтожить недостоверные, незаконные ПД. Принимать меры приостановления, прекращения обработки ПД с нарушением. Обращаться в суд, защищать интересы субъекта ПД. Принимать меры приостановления, аннулирования лицензии. Обращаться в прокуратуру для возбуждения уголовных дел. Привлекать к административной ответственности 34

Виды проверок Реестр операторов ПД Сайт прокуратуры Плановые проверки (не чаще 1 раза в 3 года, не более 20 р. д. ) О защите прав ЮЛ и ИП при государств. контроле (ФЗ-294) Жалобы, обращения субъекта ПД Внеплановые проверки Прокуратура О порядке рассмотрения обращений граждан РФ (ФЗ-59) 35

n n Предметы контроля по ФЗ «О персональных данных» Наличие уведомления об обработке ПД. Полнота и достоверность сведений в уведомлении. Соблюдение принципов и условий обработки ПД, в т. ч. специальных и биометрических (конфиденциальность, согласие, сроки хранения, соблюдение прав субъектов ПД, выполнение обязанностей оператором, . . . ). Выполнение заявленных мер безопасности ПД (организационных, технических). 36

Документы, подтверждающие выполнение оператором требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства РФ № 687: n n n 1 - локальные правовые акты, устанавливающие Правила обработки персональных данных, осуществляемой без использования средств автоматизации (пункт 3 Положения); 2 - документы, подтверждающие, что сотрудники оператора проинформированы о факте, особенностях и правилах обработки персональных данных, осуществляемой без использования средств автоматизации (пункт 6 Положения); 3 - типовые формы (бланки) документов оператора, на полях которых осуществляется фиксация персональных данных (пункт 7 Положения); 37

Документы, подтверждающие выполнение оператором требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства РФ № 687: n n 4 - журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или для иных аналогичных целей, при наличии (пункт 8 Положения); 5 - список сотрудников оператора, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ (пункты 8 а, 13 Положения); 6 - перечень установленных оператором мер безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации (пункт 15 Положения); 7 - список лиц оператора, ответственных за реализацию мер безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации (пункт 15 Положения). 38

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 1 - копии сертификатов соответствия средств защиты информации, применяемых в информационной системе (пункт 5 Положения); 2 - копия акта классификации информационной системы оператора (пункт 6 Положения); 3 - модель угроз безопасности персональных данных при их обработке в информационной системе оператора (пункт 12 -а Положения); 4 - описание системы защиты персональных данных при их обработке в информационной системе оператора (пункты 12 -б, 12 -к Положения); 39

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 5 - копия Заключения о возможности эксплуатации средств защиты информации (пункт 12 -в Положения); 6 - эксплуатационная и техническая документация средств защиты информации (пункт 12 -г Положения); 7 - документы, подтверждающие обучение лиц оператора, использующих средства защиты информации, применяемые в информационной системе, правилам работы с ними (пункт 12 -д Положения); 40

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 8 - документы по учёту оператором применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных (пункты 12 -е, 20 Положения); 9 - документы по учёту оператором лиц, допущенных к работе с персональными данными в информационной системе (пункт 12 -ж Положения); 10 - документы по учёту проверок оператором соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией (пункт 12 -з Положения); 41

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 11 - материалы разбирательств (при наличии) по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных (пункт 12 -и Положения); 12 - документы оператора о назначении структурного подразделения или должностного лица (работника), ответственных за обеспечение безопасности персональных данных (пункт 13 Положения); 42

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 13 - утверждённый список лиц оператора, доступ которых к соответствующим персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (пункт 14 Положения); 14 - справка о наличии (отсутствии) электронного журнала регистрации запросов (обращений) пользователей информационной системы на получение персональных данных, а также фактов предоставления персональных данных по этим запросам (пункт 15 Положения); 43

Документы, подтверждающие выполнение оператором требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённого постановлением Правительства РФ № 781: 15 - документ, подтверждающий факты периодических проверок содержания электронного журнала обращений соответствующими должностными лицами (работниками) оператора или уполномоченным лицом (пункт 15 Положения); 16 - Правила пользования средствами защиты информации, предназначенными для обеспечения безопасности персональных данных при их обработке в информационной системе, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации (пункт 19 Положения); 44

А также: 1. Заверенные оператором распечатки форм (шаблонов) для заполнения полей баз персональных данных, отображаемых на экране ПЭВМ. 2. Документы по организации обработки, обеспечению условий конфиденциальности и безопасности персональных данных физических лиц, в том числе собственных сотрудников оператора. 3. Документы, подтверждающие согласие субъектов персональных данных на обработку их персональных данных. 4. Должностные инструкции сотрудников оператора, в обязанности которых входит обработка персональных данных. 5. Договоры оператора с третьими лицами на обработку персональных данных (при наличии). 6. Документы, подтверждающие факты уничтожения персональных данных при достижении цели обработки. 7. Журнал (книга) регистрации жалоб и обращений граждан. 8. Журнал учёта проверок юридического лица. В ходе проверки могут быть потребованы другие документы, связанные с деятельностью оператора в области обработки и обеспечения защиты персональных данных !!! 45

Ответственность за нарушения Дисциплинарная Локальные акты оператора Административная Ко. АП РФ ст. 5. 39, 13. 11, 13. 12, 13. 14, 13. 23, 19. 7 Гражданская ГК РФ Уголовная УК РФ 46

Ко. АП РФ основные «рабочие» статьи Роскомнадзора Статья 13. 11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечёт предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Статья 13. 14 Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырёх тысяч до пяти тысяч рублей. 47

Ко. АП РФ основные «рабочие» статьи Роскомнадзора (продолжение) Статья 19. 7 Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде - влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей. 48

Ко. АП РФ другие статьи на тему персональных данных Статья 5. 39. Отказ в предоставлении гражданину информации. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – влечёт наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей. Статья 13. 23. Нарушение порядка предоставления обязательного экземпляра документов, письменных уведомлений, уставов и договоров - влечет наложение административного штрафа на граждан в размере от двухсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей. 49

Ко. АП РФ Статья 13. 12. Нарушение правил защиты информации 1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. . . . . 5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток. 50

Ко. АП РФ Статья 13. 12. Нарушение правил защиты информации (продолжение) 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. 51

Ко. АП РФ Статья 13. Незаконная деятельность в области защиты информации 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. . . 52

Схема пресечения нарушений (на данное время) нарушения по ст. 13. 11, 19. 7 Ко. АП (выявлены в ходе проверки) Роскомнадзор материалы рассмотрения жалоб Суд Прокуратура протокол по ст. 19. 7 Ко. АП (нарушения выявлены не в ходе проверки) предписание об устранении нарушения предупреждение Оператор ПД штраф 53

Были проверены в 2008 – 2009 годах ПФЭС и МРФСС ОАО «Уралсвязьинформ» ЗАО «ЭР-Телеком» ОАО «МТС» , ФГУП «ВГТРК» , ОАО Банк «Петрокоммерц» ЗАО «Гостиница Турист» ОАО СК «РОСНО-МС» ГУ ЦЗН г. Кунгура Отдел ЗАГС Администрации г. Кунгура ООО «Столичное коллекторское агентство» ОАО «АКБ «Пермь» Стоматологическая поликлиника № 7 Администрация Ленинского района Перми ООО «Экспресс-Лизинг» 54

План проверок на 2010 год (опубликован на сайте Роскомнадзора http: //www. rsoc. ru) Туристическое агентство «Катюша» , ИП Семёнов Рудольф Сергеевич (гостиница), ГУЗ «Краевая клиническая наркологическая больница» , МУЗ городская стоматологическая поликлиника № 3 ОАО «Вымпел-Коммуникации» , ООО «Росгосстрах – Поволжье» , ГОУ ВПО «Пермская государственная медицинская академия» , ИП Безденежных Ольга Васильевна (турагент), Управление Федеральной службы судебных приставов по Пермскому краю, Администрация Суксунского района Пермского края, Управление образования администрации Суксунского р-на Пермского края, ФГУП «Почта России» , ООО «Управляющая компания «ПРОФИ-ДОМ» (ЖКХ), ООО «Управляющая компания "Пермский торговый дом недвижимости”» , ООО «Гео-Систем Пермь» , ООО ПТФ «Солвент» , ГУЗ «Пермский краевой МИАЦ» , ООО «Центр обработки данных» , Пермская таможня. 55

Проект плана проверок на 2011 год Государственная инспекция труда в Пермском крае ГУЗ «Краевая станция переливания крови № 1» ООО «Издательский дом «Компаньон» ИФНС по Индустриальному р-ну г. Перми Управление ГИБДД ГУВД по Пермскому краю Администрация Пермского района Управление образования Администрация Пермского района Инспекция государственного строительного надзора Пермского края МОУ ДОД Центр дополнительного образования для детей «Радуга» ГКУК «Пермская государственная библиотека им. А. М. Горького» ЗАО «Страховая группа «Спасские ворота» (Москва) ЗАО «Армадилло Бизнес Посылка» (Москва) ООО «Управляющая компания № 3» ТУ Минсоцразвития Пермского края по Чайковскому району ООО «АЭРОФЛОТ-РОССИЙСКИЕ АВИАЛИНИИ» (Москва) ООО «Фрейт-Линк» (Москва) ООО «Мегафон Ритейл» (Санкт-Петербург) ОАО «Северные магистральные нефтепроводы» (Республика Коми) 56

Проект плана проверок на 2011 год (продолжение) ОАО Комбинат «Стройкомплект» (Краснодар) МУК «Объединение муниципальных библиотек» ООО «АВАНТА Персонал Пермь» ОАО АК Сбербанк РФ (Москва) Отделение по г. Краснокамску УФК по Пермскому краю Территориальная избирательная комиссия Краснокамского района ООО «СЦС Совинтел» (Москва) ООО «Русфинанс Банк» (Самара) ОАО «Авиакомпания «Сибирь» (Новосибирск) ГОУ СПО «Пермский авиатехникум им. А. Д. Швецова» Управление здравоохранения Администрации г. Перми Федеральное БТИ (Москва) ОНО «Учебный центр «Магистраль» МОУ ДОД «Станция юных техников» ООО «Камелот» ФГУ «Главное бюро медико-социальной экспертизы по Пермскому краю» 57

ВНИМАНИЕ ! В 2011 году и далее проверкам подлежат как операторы, подавшие уведомления об обработке персональных данных, так и операторы, не включенные в реестр операторов, осуществляющих обработку персональных данных !!! 58

Классификатор нарушений Нормативно-правовой акт, устанавливающий обязательное требование в области персональных данных Содержание нарушения обязательного требования Ответственность по Ко. АП РФ 59

Классификатор нарушений ст. 87 Трудового кодекса РФ Отсутствие у работодателя документов, устанавливающих порядок хранения и использования персональных данных работников ст. 13. 11 Ко. АП РФ 60

Классификатор нарушений п. 8 ст. 86 Трудового кодекса РФ Отсутствие документов, подтверждающих ознакомление работников с документами работодателя, устанавливающими порядок хранения и использования персональных данных работников Ст. 13. 11 Ко. АП РФ 61

Классификатор нарушений ч. 1 ст. 6 ФЗ «О персональных данных» Обработка персональных данных без согласия субъекта персональных данных Ст. 13. 11 Ко. АП РФ 62

Классификатор нарушений ч. 1 ст. 6 ФЗ «О персональных данных» Передача персональных данных третьим лицам без уведомления и получения согласия субъекта персональных данных Ст. 13. 11 Ко. АП РФ 63

Классификатор нарушений ч. 1 ст. 6 ФЗ «О персональных данных» Размещение в СМИ или других источниках информации персональных данных субъектов персональных данных не являющихся общедоступными Ст. 13. 11 Ко. АП РФ 64

Классификатор нарушений ч. 1 ст. 7 ФЗ «О персональных данных» Нарушение требований конфиденциальности при обработке персональных данных Ст. 13. 14 Ко. АП РФ 65

Классификатор нарушений ч. 1 ст. 7 ФЗ «О персональных данных» Нарушение требований конфиденциальности при обработке персональных данных, не являющихся общедоступными Ст. 13. 14 Ко. АП РФ 66

Классификатор нарушений ч. 4 ст. 6 ФЗ «О персональных данных» Отсутствие в тексте договора существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случаях, когда оператор на основании данного договора поручает обработку персональных данных другому лицу Ст. 13. 11 Ко. АП РФ 67

Классификатор нарушений ч. 4 ст. 9 ФЗ «О персональных данных» Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации Ст. 13. 11 Ко. АП РФ 68

Классификатор нарушений ч. 1 ст. 10 ФЗ «О персональных данных» Обработка специальных категорий персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных» Ст. 13. 11 Ко. АП РФ 69

Классификатор нарушений ч. 3 ст. 10 ФЗ «О персональных данных» Нарушение оператором обязательных требований при обработке специальных категорий персональных данных (сведения о судимости) Ст. 13. 11 Ко. АП РФ 70

Классификатор нарушений ч. 1 ст. 11 ФЗ «О персональных данных» Обработка биометрических персональных данных без письменного согласия субъекта персональных данных Ст. 13. 11 Ко. АП РФ 71

Классификатор нарушений п. 1 ч. 3 ст. 12 ФЗ «О персональных данных» Трансграничная передача персональных данных на территорию иностранного государства без согласия в письменной форме субъекта персональных данных Ст. 13. 11 Ко. АП РФ 72

Классификатор нарушений ч. 4 ст. 14 ФЗ «О персональных данных» Нарушение права субъекта персональных данных на получение информации, касающейся обработки его персональных данных Ст. 5. 39 Ко. АП РФ 73

Классификатор нарушений ч. 1 ст. 15 ФЗ «О персональных данных» Отсутствие у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг Ст. 13. 11 Ко. АП РФ 74

Классификатор нарушений ч. 2 ст. 16 ФЗ «О персональных данных» Несоблюдение оператором установленных требований принятии решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных Ст. 13. 11 Ко. АП РФ 75

Классификатор нарушений ч. 3 ст. 18 ФЗ «О персональных данных» Нарушение оператором обязательных требований при обработке персональных данных, полученных от третьих лиц Ст. 13. 11 Ко. АП РФ 76

Классификатор нарушений ч. 1 ст. 20 ФЗ «О персональных данных» Непредоставление оператором в установленные сроки субъекту персональных данных или его законному представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных Ст. 13. 11 Ко. АП РФ 77

Классификатор нарушений ч. 1 ст. 21 ФЗ «О персональных данных» Неисполнение оператором обязательств по устранению нарушений, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Ст. 13. 11 Ко. АП РФ 78

Классификатор нарушений ч. 4 ст. 21 ФЗ «О персональных данных» Несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки Ст. 13. 11 Ко. АП РФ 79

Классификатор нарушений ч. 5 ст. 21 ФЗ «О персональных данных» Неисполнение оператором требований по прекращению и уничтожению персональных данных в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Ст. 13. 11 Ко. АП РФ 80

Классификатор нарушений ч. 1 ст. 22 ФЗ «О персональных данных» Осуществление деятельности по обработке персональных данных, не попадающую под исключения ч. 2 ст. 22 ФЗ «О персональных данных» , без уведомления Уполномоченного органа по защите прав субъектов персональных данных ст. 19. 7 Ко. АП РФ 81

Классификатор нарушений ч. 3 ст. 22 ФЗ «О персональных данных» Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения ст. 19. 7 Ко. АП РФ 82

Классификатор нарушений ч. 7 ст. 22 ФЗ «О персональных данных» Непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных ст. 19. 7 Ко. АП РФ 83

Классификатор нарушений п. п. 3, 4 ч. 3 ст. 23 ФЗ «О персональных данных» Невыполнение в установленный срок предписания, об устранении нарушений законодательства Российской Федерации в области персональных данных часть 1 ст. 19. 5 Ко. АП РФ 84

Классификатор нарушений п. 5 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы ст. 13. 11 Ко. АП РФ 85

Классификатор нарушений п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации ст. 13. 11 Ко. АП РФ 86

Классификатор нарушений п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ ст. 13. 11 Ко. АП РФ 87

Классификатор нарушений п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Несоблюдение оператором установленных требований при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях ст. 13. 11 Ко. АП РФ 88

Классификатор нарушений п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ ст. 13. 11 Ко. АП РФ 89

Классификатор нарушений п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (ПП-687) Несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ ст. 13. 11 Ко. АП РФ 90

Электронные услуги на сайтах: Роскомнадзора http: //www. rsoc. ru и Управления Роскомнадзора по Пермскому краю http: //59. rsoc. ru Уведомление об обработке (о намерении осуществлять обработку) персональных данных. n n Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных. 91

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных http: //pd. rsoc. ru Страницы Главная Обращения граждан Новости, события Форма для создания уведомления Об уполномоченном органе Реестр операторов Консультативный совет Форум Законодательство Другие материалы 92

У кого есть вопросы? 94

Благодарю за внимание! 95