Основные принципы работы с ПДн
Классификация информации по категориям доступа ИНФОРМАЦИЯ Открытая информация Информация ограниченного доступа Конфиденциальная информация Производственная тайна Тайна следствия и суда Служебная тайна Персональные данные Государственная тайна Профессиональная тайна Коммерческая тайна Указ Президента РФ от 06. 03. 1997 № 188
Перечень основополагающих нормативных правовых актов 1. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке данных от 28. 01. 1981; 2. Федеральный закон от 19. 12. 2005 года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных» ; 3. Конституция Российской Федерации; 4. Федеральный закон от 27. 07. 2006 года № 152 -ФЗ «О персональных данных» ; 5. Федеральный закон от 27. 07. 2006 № 149 -ФЗ «Об информационных технологиях и о защите информации» ; 6. Постановление Правительства РФ от 15. 09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ; информации,
Перечень основополагающих нормативных правовых актов (продолжение) 7. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» ; 8. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» ; 9. Приказ Роскомнадзора от 01. 12. 2009 № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» ; 10. Трудовой Кодекс РФ.
Функции и задачи Роскомнадзора Функции Государственный надзор и контроль за обработкой персональных данных Рассмотрение обращений субъектов персональных данных Ведение реестра операторов Задачи Обеспечение контроля и надзора за соответствием обработки ПД требованиям ФЗ Обеспечение работы Консультативного совета при Россвязькомнадзора Подготовка ежегодных отчетов по результатам осуществления контроля и надзора перед Президентом РФ, Правительством РФ и Федеральным Собранием Российской Федерации. Рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принятие соответствующих решений Ведение реестра операторов, осуществляющих обработку персональных данных; проверка сведений содержащихся в уведомлении об обработке персональных данных
Функции и задачи Роскомнадзора Функции Задачи ( продолжение) Организация международного сотрудничества по вопросам деятельности в области защиты прав субъектов ПД Международное сотрудничество в области ПД Защита прав субъектов ПД Совершенствование нормативного правового регулирования защиты прав субъектов ПД Обеспечение работы представителей Консультативного комитета Совета Европы Организация и осуществление трансграничной передачи персональных данных Обращение в суд с исковым заявлением в защиту прав субъектов персональных данных и представление их интересов в суде Внесение в Правительство Российской Федерации предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных
Государства, на территории которых обеспечивается адекватная защита персональных данных Австрия Андорра Бельгия Болгария Дания Великобритания Венгрия Германия Греция Израиль Ирландия Испания Италия Латвия Литва Лихтенштейн Люксембург Мальта Нидерланды Норвегия Польша Португалия Румыния Сербия Словакия Словения Финляндия Франция Хорватия Черногория Чехия Швейцария Швеция Эстония.
Закон о персональных данных не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262 -ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Основные понятия Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД
Принципы обработки ПД Законности целей и способов обработки ПД и добросовестности Соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора Соответствия объема и характера обрабатываемых ПД, способов обработки ПД данных целям обработки ПД Достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПД
Обработка ПД допускается в следующих случаях: Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве Обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с законом "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем
Обработка ПД допускается в следующих случаях: Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом
Обеспечение конфиденциальности персональных данных не требуется: Обезличенные персональные данные Общедоступны е персональные данные Доступ неограниченного круга лиц предоставлен с согласия субъекта персональных данных В соответствии с федеральным законами не распространяющими требования о конфиденциальности
Объекты надзора Основные ПД • Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы Специальные ПД • Расовая принадлежность, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, судимость Биометрические ПД • Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность
Случаи получения согласия на обработку ПД в письменной форме 1. Включение в общедоступные источники персональных данных (в том числе справочники, адресные книги); 2. Обработка специальной категории персональных данных; 3. Обработка биометрических персональных данных; 4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных; 5. При принятии решения на основании исключительно автоматизированной обработки ПД, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы.
Письменное согласие субъекта ПД на обработку своих ПД должно включать в себя: 1. 2. 3. 4. 5. 6. • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе; • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; • цель обработки персональных данных; • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; • срок, в течение которого действует согласие, а также порядок его отзыва.
Право на доступ к информации о себе субъекта персональных данных по письменному запросу 1. 2. 3. 4. 5. 6. 7. 8. 9. подтверждение факта обработки персональных данных оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
Действия оператора при обработке персональных данных (примерный перечень – ч. 1 ст. 18. 1, ч. 2 ст. 19 Закона) Соблюсти принципы обработки персональных данных. Уничтожить ПД по достижении целей их обработки. (ст. 5 Закона) Предпринять предусмотренные Законом меры для обеспечения конфиденциальности полученных ПД. (ч. 1 ст. 7 Закона) Представлять ПД по требованию субъекта или его законного представителя, а также уполномоченного органа по защите прав субъектов ПД. (ч. 2 ст. 14; ч. 4 ст. 20 Закона) Получить согласие субъекта ПД на их обработку. (ч. 1 ст. 6 Закона) В случаях, предусмотренных Законом, оформить письменное согласие.
Действия оператора при обработке персональных данных (часть 2) Назначить лицо, ответственное за организацию обработки ПД в организации (ст. 22. 1 Закона) Проинформировать лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных НПА, а также локальными правовыми актами организации. (п. 6 Постановления № 687) Определить места хранения персональных данных (материальных носителей) в отношении каждой категории персональных данных. Установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. (п. 13 Постановления № 687) Обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ. Установить соответствующий перечень мер, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер. (п. 15 Постановления № 687)
Действия оператора при обработке персональных данных (при необходимости) (часть 3) Уведомить по предусмотренной законом форме уполномоченный орган по защите прав субъектов ПД о намерении осуществлять обработку данных. (ч. 1 ст. 22 Закона) Соблюсти требования к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных. (п. 7 Постановления № 687) Необходимость ведения журнала (реестра, книги), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных. (п. 8 Постановления № 687)
Случаи уничтожения персональных данных оператором невозможность устранения допущенных нарушений при выявлении неправомерности действийс персональными данными * ч. 3 ст. 21 достижение цели обработки персональных данных * * ч. 4 ст. 21 отзыв субъектом персональных данных согласия на обработку своих персональных данных ** * ч. 5 ст. 21 * Срок уничтожения персональных данных - не более 10 рабочих дней. * * Срок уничтожения персональных данных - не более 30 дней. Максимальный срок 6 месяцев
Содержание уведомления об обработке персональных данных 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. наименование (фамилия, имя, отчество), адрес оператора; цель обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; правовое основание обработки персональных данных; перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; описание мер, предусмотренных статьями 18. 1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; дата начала обработки персональных данных; срок или условие прекращения обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Ответственность оператора за нарушение Закона о персональных данных Административная Отказ в предоставлении гражданину информации ( ст. 5. 39 Ко. АП РФ) Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13. 11 Ко. АП РФ) Разглашение информации с ограниченным доступом (ст. 13. 14 Ко. АП РФ) Гражданскоправовая Ст. 17 Федерального закона от 27. 07. 2006 № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» Уголовная Нарушение неприкосновенности частной жизни ( ст. 137 УК РФ) Отказ в предоставлении Гражданину информации ( ст. 140 УК РФ) Неправомерный доступ к компьютерной информации ( ст. 272 УК РФ)
Скачать презентацию Основные принципы работы с ПДн Классификация информации
основные принципы работы ПДн.ppt