Защита персональных данных Требования в области защиты персональных

Зарегистрируйтесь, чтобы просмотреть полный документ!

Защита персональных данных Требования в области защиты персональных данных Ответственность операторов Проверка уровня защиты персональных данных

О мифах “А ваши продукты сертифицированы по требованиям закона о персональных данных? ” “Вступление закона в силу отложено” “А нам подавать уведомление не нужно, закон нас не касается” 2

История защиты ПДн 1858 г. Франция. Запрет на публикацию фактов о частной жизни 1889 г. Норвегия. 1980 г. Европейская Организация по экономическому сотрудничеству и развитию. Рекомендации ОЭСР о защите неприкосновенности частной жизни и международных обменов ПДн. 1981 г. Европейская Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных» , Директивы 95/46 ЕС , 97/66/EC 2005 г. Закон РФ № 160 -ФЗ о ратификации Конвенции 2007 г. Закон РФ от 27. 07. 2006 г. № 152 -ФЗ 3

Защита персональных данных Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке. Федеральные органы, уполномоченные в области обеспечения безопасности (ФСБ России, ФСТЭК России), осуществляют контроль и надзор. Оператор обязан принимать организационные и технические меры для защиты персональных данных от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. 4

Основные нормативно-правовые акты Федеральные законы ФЗ № 152 от 27. 07. 2006 «О персональных данных» ФЗ № 160 от 2005 г. «О ратификации конвенции Совета Европы … » Постановления Правительства РФ № 781 от 17. 11. 2007 Методические документы регуляторов Роскомнадзор № 687 от 15. 09. 2008 ФСТЭК России № 512 от 06. 07. 2008 ФСБ России 5

Основные нормативные документы по защите персональных данных § § § § ФЗ 2006 г. № 152 -ФЗ «О персональных данных» ФЗ 2006 г. № 149 -ФЗ «Об информации, информатизации и защите информации» Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. Нормативно-методические документы уполномоченных федеральных органов Примечание: В данной сфере действуют также Постановления Правительства РФ № 228 от 16. 03. 2009, № 504 от 15. 08. 2006 , № 957 от 29. 12. 2007 и др. 6

Сфера действия ФЗ «О персональных данных» § Федеральные органы государственной власти. § Исполнительные органы государственной власти субъектов РФ. § Государственные органы. § Органы местного самоуправления. § Муниципальные органы – в том числе больницы, детские сады, коммунальные службы и др. § Юридические, физические лица, осуществляющие обработку ПДн с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. § Организации различных форм собственности, общественные организации, физические лица. 7

Сфера действия ФЗ «О персональных данных» Действие Федерального закона не распространяется на отношения, возникающие при обработке ПДн архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. 8

Система государственного контроля и надзора за обеспечением безопасности персональных данных Уполномоченный орган по защите прав субъектов персональных данных [Россвязькомнадзор] ФОИВ, уполномоченный в области обеспечения безопасности [ФСБ] ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации [ФСТЭК] 9

Документы регуляторов Роскомнадзор ФСТЭК России ФСБ России Совместный приказ № 55/86/20 от 13. 02. 2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Форма уведомления, регламент проверок, … Приказ ФСТЭК РФ от 05. 02. 2010 № 58 2 открытых документа 10

Нормативно-методические документы Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. Зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный № 11462. ФСТЭК России § § § Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. Положение о методах и способах защиты информации в информационных системах персональных данных Сайт ФСТЭК России: http: //www. fstec. ru 11

Нормативно-методические документы ФСБ России § Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6 -622, 2008 г. , ФСБ России. § Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54 -144, 2008 г. , ФСБ России. Сайт ФСБ России: http: //www. fsb. ru 12

Нормативно-методические документы § ФЗ № 152 -ФЗ от 27. 07. 2006 «О персональных данных» — регулирует отношения, связанные с обработкой персональных данных с использованием средств автоматизации. § Постановление Правительства РФ № 781 от 17. 11. 2007 «Об утверждении положения об обеспечения безопасности персональных данных при их обработке в ИСПД» — устанавливает общие требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. § Совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13. 02. 2008 «Об утверждении порядка проведения классификации ИСПД» — определяет порядок проведения классификации информационных систем персональных данных. § Комплект методических документов ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в ИСПД — устанавливает конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. 13

Сфера деятельности регуляторов Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 14

О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций В соответствии с Постановлением Правительства РФ № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» : § осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных; § ведет реестр операторов, осуществляющих обработку персональных данных; § имеет право запрашивать и получать в установленном порядке сведения, необходимые для принятия решений; § имеет право применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере. … Портал персональных данных: http: //pd. rsoc. ru 15

О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, в соответствии со ст. 23 Федерального закона № 152 имеет следующие полномочия: … 3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 4) принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; 5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде; … 9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона; и другие, в том числе направление материалов в соответствующие органы для отзыва лицензии, возбуждения уголовных дел и т. п. 16

ФЗ «О персональных данных» Сроки реализации требований закона (ст. 25) После дня вступления в силу Федерального закона (26. 01. 2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом. Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. С 2011 года станут обязательны сертификаты технических средств защиты персональных данных и лицензии на право их хранения и обработки. Также операторы подвергнутся проверкам контролирующих органов 17

Предлагаемые виды проверок В зависимости от ведомственного состава участвующих в их проведении: § Комплексные — проводятся одновременно по всем направлениям контроля и надзора, с проверкой соблюдения оператором обязательных требований и норм, установленных нормативными правовыми актами в области обработки персональных данных и требований к обеспечению их безопасности. § Целевые — проводятся с целью оценки соблюдения требований к обеспечению безопасности персональных данных, установленных постановлениями Правительства РФ, при этом проверки могут проводиться: – совместно со ФСТЭК России; – силами специалистов 8 Центра ФСБ России или сотрудников территориальных органов безопасности в части использования криптосредств. 18

Основания для плановой проверки Роскомнадзора Уведомление об обработке персональных данных Включение в реестр операторов персональных данных Истечение 3 -х лет со дня государственной регистрации оператора дня окончания проведения последней в качестве плановой проверки юридического лица, оператора индивидуального предпринимателя Плановая проверка 19

Основания для внеплановой проверки Роскомнадзора Поступление сведений о возникновении угрозы причинения вреда жизни, здоровью граждан или причинении вреда жизни, здоровью граждан Нарушение оператором прав и законных интересов субъектов либо требований законодательства Приказ руководителя Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации Истечение срока исполнения ранее выданного предписания об устранении выявленного нарушения Несоответствие сведений в уведомлении об обработке, фактической деятельности Внеплановая проверка 20

Порядок предоставления информации о проверках Информация о порядке проведения проверок предоставляется: § Посредством размещения на официальном сайте Службы и ее территориальных органов в информационнотелекоммуникационной сети «Интернет» , указанном в пункте 10 настоящего Регламента. § Непосредственно в центральном аппарате Службы и ее территориальных органах. 21

Содержание приказа на проведение проверки § § § § § Наименование органа федерального государственного контроля (надзора). Фамилии, имена, отчества должностных лиц, проводящих проверку. Наименование (фамилия, имя, отчество) Оператора. Цели, задачи, предмет проверки и срок ее проведения. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки. Перечень административных регламентов проведения мероприятий по контролю. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки. Даты начала и окончания проведения проверки. 22

Типы проверок и состав документов 1. Плановая проверка: § уведомление; § приказ с типовой программой проведения мероприятия по контролю и надзору за деятельностью, связанной с обработкой ПД; § удостоверения государственных инспекторов. 2. Внеплановая проверка: § приказ с программой проведения мероприятия по контролю и надзору за деятельностью, связанной с обработкой ПД; § удостоверения государственных инспекторов. 23

Срок проведения проверки § § Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней. В случае возникновения необходимости срок проведения проверки может быть продлен, но на срок не более двадцати рабочих дней. При необходимости продления срока проверки, проводящие проверку должностные лица Службы не позднее, чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Службы или руководителю территориального органа Службы, принявшему решение о проведении проверки. 24

Результаты проверки § § По результатам проверки должностными лицами Службы, проводившими проверку, составляется акт проверки. Акт должен содержать одно из следующих заключений: § Об отсутствии в деятельности Оператора нарушений требований законодательства Российской Федерации в области персональных данных. § О выявленных в деятельности Оператора нарушениях требований законодательства Российской Федерации в области персональных данных В случае выявления по результатам проверки нарушения требований законодательства РФ в области ПДн, Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений 25

Проверяемые вопросы В соответствии с проектом Административного регламента Роскомнадзора производится: Рассмотрение документов Оператора: § уведомление (ст. 22 ФЗ «О ПД» ); § содержащиеся в уведомлении данные об обработке ПДн (представленные в уведомлении и реально реализованные). При выявление несоответствий заявленных и реальных сведений, проверяется, направлялось ли уведомление о внесении изменений в него (ч. 7 ст. 22 ФЗ «О ПД» ). ; § изложенные в обращениях граждан; § о выполнении предписаний об устранении ранее выявленных нарушений; § о наличии письменного согласия субъекта персональных данных на обработку его персональных данных; § о наличии договоров с клиентами, с указанием в договоре согласия клиента на обработку персональных данных (ч. 2, ст. 6 ФЗ «О ПД» ) § о соблюдении требований законодательства РФ при обработке специальных категорий и биометрических ПДн; § о порядке и условиях трансграничной передачи ПДн; § о порядке обработки ПДн, осуществляемой без использования средств автоматизации; § о соблюдении требований конфиденциальности при обработке ПДн; § о фактах уничтожения ПДн по достижении цели обработки. Анализ актов оператора, регламентирующих порядок и условия обработки ПДн Обследование ИСПДн в части, касающейся обрабатываемых в ней ПДн. 26

Проверяемые вопросы 5. По отдельным видам услуг — наличие анкеты, заполняемой клиентом, в которой содержатся его персональные данные. 6. Наличие ответственных лиц за обработку персональных данных. 7. Определен ли круг лиц, имеющих доступ к персональным данным. 8. Наличие технических средств для обработки персональных данных. 9. Наличие специально отведенного помещения для обработки персональных данных. 10. Наличие обработки персональных данных, осуществляемой без средств автоматизации. 11. Наличие обработки персональных данных с использованием технических средств (ведение базы персональных данных). 12. Наличие передачи персональных данных третьим лицам. 13. Наличие трансграничной передачи персональных данных. 14. Наличие обработки биометрических персональных данных. 15. Наличие привлеченных на договорной основе организаций для обработки персональных данных. 16. Наличие обработки персональных данных в кадровой службе. 17. Наличие обработки специальных категорий персональных данных. 18. Соблюдение конфиденциальности персональных данных. 19. Ведение журнала обращений по ознакомлению клиентов с персональными данными (в электронном и/или бумажном виде). 20. Соблюдение порядка уничтожения, блокирования, бронирования, изменения персональных данных. 21. Обработка (при наличии) персональных данных в филиалах и отделениях. 22. При наличии присоединенных организаций — проверять обработку персональных данных по этим организациям. 27

Принимаемые меры 1. Предписание, основание: п. 3 ст. 9 ФЗ от 14. 07. 2001 № 134 -ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» . 2. Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии, основание: п. п. 6 ст. 23 гл. 5 ФЗ от 27. 07. 2006 № 152 -ФЗ «О персональных данных» . 3. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями. 4. Требовать уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. 5. Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПД, основание: п. п. 7 ст. 23 гл. 5 ФЗ от 27. 07. 2006 № 152 -ФЗ «О персональных данных» . УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2 28

Какие документы необходимо иметь организации, обрабатывающей персональные данные? Материалы проектирования СЗИ от НСД ИСПДн 1. Материалы предпроектного исследования (ТЗ) 2. Результаты технического проектирования (материалы разработки и обоснования мероприятий по защите персональных данных) 3. Результаты опытной эксплуатации и итоговых испытаний Эксплуатационные документы 1. Акты 2. Журналы учета и перечни 3. Инструкции по эксплуатации и правила пользования 4. Форма и соглашения 5. Описание технологического процесса 6. Предписания на эксплуатацию 7. Протоколы испытаний 8. … Организационнораспорядительные документы 1. Положение о защите информации (защите ПДн) 2. Должностные инструкции (ответственного) по защите ПДн (администратора безопасности ПДн) 3. Технологический регламент обработки персональных данных (на всех этапах жизненного цикла ИСПДн) 4. Положение о системе делопроизводства (документооборота на бумажных носителях) 5. … и т. п. Примечание: указанная документация создает необходимую основу для осуществления контроля и надзора за обработкой персональных данных со стороны уполномоченных органов (ФСБ, ФСТЭК, Роскомнадзора). 29

Обязанности оператора по устранению нарушений В результате: § Выявления недостоверных персональных данных § Выявления неправомерных действий оператора § Обработки ПДн после получения отзыва согласия субъекта на обработку его ПДн Оператор обязан в течение 3 -х рабочих дней: § устранить выявленные нарушения § уничтожить персональные данные 30

Ответственность в области защиты персональных данных Статья 19. 5 Ко. АП РФ. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей 31

ФЗ «О персональных данных» Ответственность в области защиты персональных данных Ст. 24 Федерального закона № 152 «О персональных данных» : § Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Дисциплинарная § См. Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391. Административная § См. Кодекс Российской Федерации об административных правонарушениях, статьи 5. 27, 5. 39, 13. 11– 13. 14, 13. 19, 19. 4– 19. 7, 19. 20, 20. 25, 32. 2. Уголовная § См. Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 183, 272, 273, 274, 292, 293. 32

ФЗ «О персональных данных» Ответственность в области защиты персональных данных О чем статья? Максимальное наказание Ко. АП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) 10 000 руб. 13. 12 Ко. АП 20 000 руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток 19. 4 Ко. АП 19. 5 Ко. АП 137 УК 90 ТК Нарушение правил защиты информации, а также использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, а также Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства, а также Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника Статья Кодекс 13. 11 10 000 руб. 500 000 руб. + дисквалификация должностного лица до 3 -х лет 300 000 руб. + исправительные работы на срок до 240 часов + арест до 6 -ти месяцев увольнение 33

Ответственность в области защиты персональных данных Наказание по Трудовому кодексу Максимум — возмещение морального вреда сотруднику, получившему ущерб от разглашения его ПДн, в денежной форме. Наказание по Ко. АП Максимум — 20. 000 руб. + конфискация средств защиты + приостановление обработки персональных данных на срок до 90 суток + дисквалификация должностного лица до 3 -х лет. Наказание по УК Максимум — 300. 000 руб. + обязательные работы на срок до 1 -го года + арест до 6 -ти месяцев + лишение права занимать должность на срок до 5 -ти лет. 34

Ответственность в области защиты персональных данных Есть ли уведомление Роскомнадзора Есть ли лицензия на ТЗКИ Соответствует ли документация требованиям 152 ФЗ Используются ли только сертифицированные средства 35

Ответственность в области защиты персональных данных Руководители региональных управлений ФСТЭК (Гостехкомиссии) России и их заместители наделяются правом назначать административные наказания за нарушения, предусмотренные следующими статьями кодекса: 13. 6 «Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи» . 13. 12 «Нарушение правил защиты информации» 13. 13 «Незаконная деятельность в области защиты информации» (Ко. АП) Дело об административном правонарушении может быть возбуждено при наличии хотя бы одного из поводов: § § § Непосредственное обнаружение сотрудниками ФСТЭК России, уполномоченными составлять протоколы об административных правонарушениях, достаточных данных, указывающих на наличие события административного правонарушения. Поступившие из правоохранительных органов, а также из других государственных органов, органов местного самоуправления, от общественных объединений материалы, содержащие данные, указывающие на наличие события административного правонарушения. Сообщения и заявления физических и юридических лиц, а также сообщения в средствах массовой информации, содержащие данные, указывающие на наличие события административного правонарушения. 36

ФЗ «О персональных данных» Ответственность в области защиты персональных данных • 432 проверки (284 плановые и 148 внеплановые) • 557 предписаний об устранении нарушений • 54 протокола об административных правонарушениях (ст. 19. 7 Ко. АП) • 84 материала проверок направлено в прокуратуру (ст. 13. 11 Ко. АП) доклад Л. Васильевой Роскомнадзор 2010 37

Понятийный аппарат Федеральный закон № 152 -ФЗ «О персональных данных» § Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. § Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки § Специальные категории персональных данных – данные о рассовой и национальной принадлежности, политических взглядах, философских и религиозных убеждениях, состояние здоровья и интимной жизни § Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность 38

Понятийный аппарат Персональные данные как вид документированной информации ограниченного доступа определены в Федеральном законе от 20. 02. 1995 N 24 -ФЗ "Об информации, информатизации и защите информации" (в наст. время - в ред. от 10. 01. 2003). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06. 03. 1997 N 188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях. В Трудовом кодексе РФ также вводится понятие, "персональные данные оценочного характера". Работник имеет право дополнить их заявлением, выражающим его (работника) собственную точку зрения в отношении такой информации 39

Что такое персональные данные? персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Ст. 3 ФЗ-152 «О персональных данных» Для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованы либо оператором, либо любым иным лицом для идентификации указанного лица. Евродиректива Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных) ФЗ № 160 «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 40

Что такое персональные данные? Персональные данные это: • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, являются персональными данными. Указ Президента РФ от 6 марта 1997 г. "Об утверждении Перечня сведений конфиденциального характера" • сведения о фактах, событиях и обстоятельствах жизни, позволяющие идентифицировать личность и содержащиеся в личном деле Указ Президента РФ от 30 мая 2005 г. "Об утверждении Положения о персональных данных государственного гражданского служащего РФ. • данные работника информация, необходимая работодателю в связи с трудовыми отношениями и полученные у самого работника или, с его письменного согласия, у третьих лиц Трудовой кодекс РФ . 41

Понятийный аппарат Федеральный закон № 152 -ФЗ «О персональных данных» § ПДн - Персональные данные § ИСПДн - информационная система персональных данных § ПЭМИН - побочные электромагнитные излучения и наводки § СЗПДн - система защиты персональных данных § НСД - несанкционированный доступ 42

Понятийный аппарат Федеральный закон № 152 -ФЗ «О персональных данных» Обработка персональных данных — действия (операции) с персональными данными, включая: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 43

Требования ФЗ «О персональных данных» Обеспечение конфиденциальности ПДн В соответствии с Законом «О персональных данных» организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. Статья 7. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7: Обеспечение конфиденциальности персональных данных не требуется: § в случае обезличивания персональных данных; § в отношении общедоступных персональных данных. По оценкам Роскомнадзора, на сегодняшний день требования Закона касаются около 7 млн организаций 44

ФЗ «О персональных данных» Обязанности операторов ПДн § провести инвентаризацию ИР, определить перечень ПДн; § урегулировать правовые вопросы обработки ПДн; § направить в Роскомнадзор уведомление о намерении осуществлять обработку ПДн (при необходимости); § получить лицензию на деятельность по ТЗИ (не для всех); § реализовать систему защиты. 45

ФЗ «О персональных данных» Обязанности операторов ПДн – уведомление об обработке ПД Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ «О персональных данных» Форма уведомления о намерении оператором обрабатывать персональные данные установлена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) № 8 от 17 июля 2008 г. 46

Содержание уведомления 1. 2. 3. 4. 5. 6. 7. 8. 9. Наименование (Ф. И. О для физлица. ), адрес оператора. Цель обработки персональных данных. Категории персональных данных (общие, специальные, биометрические). Категории субъектов, персональные данные которых обрабатываются. Правовое основание обработки персональных данных. Перечень действий с персональными данными, общее описание используемых оператором способов обработки. Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при обработке. Дата начала обработки. Срок или условие прекращения обработки. 47

Действия уполномоченного органа при получении уведомления Уполномоченный орган по защите прав субъектов персональных данных в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения, содержащиеся в уведомлении, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов. 48

Требования ФЗ «О персональных данных» Обязанности оператора При сборе персональных данных оператор обязан предоставить субъекту по его просьбе информацию, предусмотренную частью 4 статьи 14 ФЗ «О персональных данных» : § Цель обработки персональных данных. § Способы обработки персональных данных, применяемые оператором. § Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ. § Перечень обрабатываемых персональных данных. § Сроки обработки персональных данных. § Сведения о юридических последствиях для субъекта, которые может повлечь за собой обработка его персональных данных. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту юридические последствия отказа предоставить свои персональные данные. 49

Требования ФЗ «О персональных данных» Обязанности оператора При сборе персональных данных принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, распространения персональных данных, а также от иных неправомерных действий. 50

Требования ФЗ «О персональных данных» Обязанности оператора При получении запроса уполномоченного органа сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса. 51

Требования ФЗ «О персональных данных» Обязанности оператора по устранению нарушений В случае выявления недостоверных персональных данных или неправомерных действий с ними — блокировать персональные данные, относящиеся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки. В случае подтверждения факта недостоверности персональных данных — уточнить персональные данные и снять их блокирование. В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий, уничтожить персональные данные. 52

Требования ФЗ «О персональных данных» Обязанности оператора при достижении целей обработки § Незамедлительно прекратить обработку персональных данных. § Уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. § Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. 53

Требования ФЗ «О персональных данных» Обязанности оператора при отзыве согласия субъекта § прекратить обработку персональных данных; § уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом; § уведомить субъекта об уничтожении персональных данных. 54

Требования ФЗ «О персональных данных» Принципы обработки ПДн (ст. 5) 1. Обработка персональных данных должна осуществляться на основе принципов: 1) законности целей и способов обработки ПДн и добросовестности; 2) соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора; 3) соответствия объема и характера обрабатываемых ПДн, способов обработки персональных данных целям обработки персональных данных; 4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. 2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 55

Требования ФЗ «О персональных данных» Условия обработки ПДн (ст. 6) 1. Обработка ПДн может осуществляться оператором с согласия субъектов ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи 6 2. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора 3. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. 56

Требования ФЗ «О персональных данных» Случаи, не требующие согласия объекта Когда обработка персональных данных осуществляется: § § § § На основании ФЗ, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего обязанности оператора. В целях исполнения договора, одной из сторон которого является субъект персональных данных. Для статистических и иных научных целей, при условии обязательного обезличивания персональных данных. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта невозможно. Для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями, а также для рассмотрения претензий пользователей услугами связи. В целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности. Персональных данных, подлежащих опубликованию в соответствии с федеральными законами. Статья 6 ФЗ-152 57

Требования ФЗ «О персональных данных» Случаи, когда в обязательном порядке требуется наличие согласия в письменной форме 1. При обработке специальных категорий ПДн (Ст. 10). 2. При обработке биометрических персональных данных (Ст. 11). 3. При включении ПДн субъекта в общедоступные источники персональных данных (в том числе справочники, адресные книги и т. п. ) (Ст. 8). 4. При необходимости трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн (Ст. 22). 5. В случае принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки его ПДн (Ст. 16). Внимание! Согласно Трудового Кодекса, Глава 14. работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК). 58

Требования ФЗ «О персональных данных» Содержание согласия субъекта на обработку 1. Ф. И. О. , адрес субъекта, номер основного документа, удостоверяющего личность, сведения о дате выдачи документа и выдавшем его органе. 2. Наименование (или Ф. И. О. ) и адрес оператора, получающего согласие субъекта. 3. Цель обработки персональных данных. 4. Перечень персональных данных, на обработку которых дается согласие субъекта. 5. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных. 6. Срок, в течение которого действует согласие, а также порядок его отзыва. 59

ФЗ «О персональных данных» ПДн, обрабатываемые без уведомления 1. Относящиеся к субъектам персональных данных, которых связывают с оператором трудовые отношения. 2. Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не предоставляются третьим лицам и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом. 3. Относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующим общественным объединением или религиозной организацией, для достижения законных целей, предусмотренных их учредительными документами. 4. Являющиеся общедоступными. 5. Включающие в себя только фамилии, имена и отчества субъектов. 6. Необходимые для однократного пропуска субъекта на территорию, на которой находится оператор. 7. Включенные в ИСПДн, имеющие в соответствии с федеральными законами статус федеральных АИС, а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка. 8. Обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при обработке и к соблюдению прав субъектов персональных данных. 60

ФЗ «О персональных данных» ПДн, обрабатываемые без уведомления Общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные Субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора. 61

Биометрические персональные данные В число основных физиологических особенностей человека, влияющих на возможность идентификации его личности, входят: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, образ лица, сетчатка глаза, особенности строения тела, отдельных органов и тканей, работа желез внутренней секреции, различные отклонения в развитии, атавизмы, психическое состояние здоровья и т. п. ГОСТ Р ИСО/МЭК 19794 5 2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными» 62

Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 63

Требования ФЗ «О персональных данных» Специальные категории персональных данных Персональные данные, касающиеся: 1. Расовой принадлежности. 2. Национальной принадлежности. 3. Политических взглядов. 4. Религиозных или философских убеждений. 5. Состояния здоровья. 6. Интимной жизни. Обработка специальных категорий персональных данных не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 ФЗ «О персональных данных» Закон допускает возможность одновременной обработки как всех из представленных персональных данных специальной категории, так и отдельных из них в части, касающейся конкретной ситуации. Письменное согласие субъекта персональных данных на их обработку, равно как и общедоступность указанных сведений, являются универсальными основаниями, предоставляющими оператору право на обработку специальной категории персональных данных. 64

Требования ФЗ «О персональных данных» Допустимые случаи обработки специальных категорий 1. Субъект персональных данных дал письменное согласие на обработку. 2. Персональные данные являются общедоступными. 3. Персональные данные относятся к состоянию здоровья субъекта, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта невозможно. 4. Обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну. … 65

Требования ФЗ «О персональных данных» Трансграничная передача ПД 1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством обеспечивается адекватная защита прав субъектов персональных данных. 2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 1. Наличия согласия субъекта персональных данных, предусмотренных международными договорами и федеральными законами. 2. Исполнения договора, стороной которого является субъект персональных данных. 3. Защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных. 66

Право субъекта персональных данных на доступ к своим персональным данным Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными: § подтверждение факта обработки персональных данных оператором, а также цель такой обработки; § способы обработки персональных данных, применяемые оператором; § сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; § перечень обрабатываемых персональных данных и источник их получения; § сроки обработки персональных данных, в том числе сроки их хранения; § сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 67

Право субъекта персональных данных на доступ к своим персональным данным ограничивается, если: § обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; § обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовнопроцессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; § предоставление персональных данных нарушает конституционные права и свободы других лиц. 68

Право на обжалование действий или бездействия оператора Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 69

Внимание! Материалы, изложенные в данной презентации, рассматривают только основные аспекты, связанные с защитой персональных данных. Более подробную информацию можно получить, обратившись в компанию «Доктор Веб» по адресу: reseach@drweb. com 70

Вопросы? Благодарим за внимание! Желаем вам процветания и еще больших успехов! www. drweb. com 71

Скачать презентацию Защита персональных данных Требования в области защиты персональных

b4aa8279f4228da9bc11c927972c5a50.ppt

Количество слайдов: 71