1 / 27

Вопросы защиты прав субъектов персональных данных

УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО НОВОСИБИРСКОЙ ОБЛАСТИ. Вопросы защиты прав субъектов персональных данных. Марущак Роман Анатольевич.

xandra-riley
Download Presentation

Вопросы защиты прав субъектов персональных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО НОВОСИБИРСКОЙ ОБЛАСТИ Вопросы защиты прав субъектов персональных данных Марущак Роман Анатольевич Заместитель начальника отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий

  2. Полезные интернет-ссылки • http://www.rsoc.ru официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), Представлены нормативные правовые акты, официальные документы и аналитические публикации по вопросу защиты прав граждан при обработке персональных данных • http://pd.rsoc.ru«Портал персональных данных». На портале размещается информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных. Осуществляется доступ к реестру операторов, осуществляющих обработку персональных данных. Кроме того, «Портал персональных данных» предоставляет возможность гражданам – субъектам персональных данных получать максимум информации для отстаивания своих интересов и гражданских прав • http://www.privacy-info.ru информационный проект «Персональные данные» содержит правовые, информационно-аналитические материалы, а также новости и справочную информацию во вопросу защиты прав граждан при обработке персональных данных • http://ispdn.ru информационный Портал о защите персональных данных, представляющий «открытую площадку» для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных (ИСПДн), форум специалистов по защите персональных данных

  3. Полезные интернет-ссылки (продолжение) • http://www.infolaw.ru/position/2006-1 электронная версия журнала «Информационное право» представляет аналитические публикации по вопросам информационного права, в том числе создания, обработки и защиты персональных данных • http://www.privacy-journal.ru сайт электронного информационно- аналитического журнала «Персональные данные», посвященного проблематике защиты персональных данных, а также по проблемам защиты прав граждан при обработке персональных данных • http://www.itsec.ru/articles2/allpubliks электронный архив публикаций журнала«Информационная безопасность» содержит информационно-аналитические материалы по вопросам защиты информации, в том числе защиты прав граждан при обработке персональных данных • http://fz-152.orgПрактика применения законодательства в сфере обработки персональных данных

  4. Классификация информации по категориям доступа ИНФОРМАЦИЯ Указ Президента РФ от 06.03.1997 №188 Открытая информация Информация ограниченного доступа Конфиденциальная информация Государственная тайна Производственная тайна Тайна следствия и суда Служебная тайна Персональные данные Профессиональная тайна Коммерческая тайна

  5. Перечень основополагающих нормативных правовых актов • Конвенция Совета Европы о защите физических лиц при автоматизированной обработке данных от 28.01.1981; • Федеральный закон от 19.12. 2005 года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных»; • Конституция Российской Федерации; • Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»; • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  6. Перечень основополагающих нормативных правовых актов (продолжение) • Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; • Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; • Приказ Роскомнадзора от 01.12.2009 № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»; • Трудовой Кодекс РФ.

  7. Функции и задачи Роскомнадзора Задачи Функции Обеспечение контроля и надзора за соответствием обработки ПД требованиям ФЗ Обеспечение работы Консультативного совета при Россвязькомнадзора Подготовка ежегодных отчетов по результатам осуществления контроля и надзора перед Президентом РФ, Правительством РФ и Федеральным Собранием Российской Федерации. Государственный надзор и контроль за обработкой персональных данных Рассмотрение обращений субъектов персональных данных Рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принятие соответствующих решений Ведение реестра операторов Ведение реестра операторов, осуществляющих обработку персональных данных; проверка сведений содержащихся в уведомлении об обработке персональных данных

  8. Функции и задачи Роскомнадзора (продолжение) Задачи Функции Организация международного сотрудничества по вопросам деятельности в области защиты прав субъектов ПД Обеспечение работы представителей Консультативного комитета Совета Европы Организация и осуществление трансграничной передачи персональных данных Международноесотрудничествов области ПД Защита прав субъектов ПД Обращение в суд с исковым заявлением в защиту прав субъектов персональных данных и представление их интересов в суде Совершенствованиенормативного правового регулированиязащиты правсубъектов ПД Внесение в Правительство Российской Федерации предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных

  9. Государства, на территории которых обеспечивается адекватная защита персональных данных • Мальта • Нидерланды • Норвегия • Польша • Португалия • Румыния • Сербия • Словакия • Словения • Финляндия • Франция • Хорватия • Черногория • Чехия • Швейцария • Швеция • Эстония. • Австрия • Андорра • Бельгия • Болгария • Дания • Великобритания • Венгрия • Германия • Греция • Израиль • Ирландия • Исландия • Испания • Италия • Латвия • Литва • Лихтенштейн • Люксембург

  10. Закон о персональных данных не распространяется на отношения, возникающие при: • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; • предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

  11. Основные понятия Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД

  12. Принципы обработки ПД

  13. Обработка ПД допускается в следующих случаях: Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве Обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с законом "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем

  14. Обработка ПД допускается в следующих случаях: Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом

  15. Обеспечение конфиденциальности персональных данных не требуется:

  16. Объекты надзора и биологические

  17. Случаи получения согласия на обработку ПД в письменной форме • Включение в общедоступные источники персональных данных (в том числе справочники, адресные книги); • Обработка специальной категории персональных данных; • Обработка биометрических персональных данных; • Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных; • При принятии решения на основании исключительно автоматизированной обработки ПД, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы.

  18. Письменное согласие субъекта ПД на обработку своих ПД должно включать в себя:

  19. Право на доступ к информации о себе субъекта персональных данных по письменному запросу • подтверждение факта обработки персональных данных оператором; • правовые основания и цели обработки персональных данных; • цели и применяемые оператором способы обработки персональных данных; • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; • сроки обработки персональных данных, в том числе сроки их хранения; • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; • информацию об осуществленной или о предполагаемой трансграничной передаче данных; • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

  20. Действия операторапри обработке персональных данных (примерный перечень – ч. 1 ст. 18.1, ч. 2 ст. 19 Закона) • Соблюсти принципы обработки персональных данных. Уничтожить ПД по достижении целей их обработки. (ст. 5 Закона) • Предпринять предусмотренные Законом меры для обеспечения конфиденциальности полученных ПД. (ч. 1 ст. 7 Закона) • Представлять ПД по требованию субъекта или его законного представителя, а также уполномоченного органа по защите прав субъектов ПД. (ч. 2 ст. 14; ч. 4 ст. 20 Закона) • Получить согласие субъекта ПД на их обработку. (ч. 1 ст. 6 Закона) В случаях, предусмотренных Законом, оформить письменное согласие.

  21. Действия операторапри обработке персональных данных (часть 2) • Назначить лицо, ответственное за организацию обработки ПД в организации (ст. 22.1 Закона) • Проинформировать лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных НПА, а также локальными правовыми актами организации. (п. 6 Постановления № 687) • Определить места хранения персональных данных (материальных носителей) в отношении каждой категории персональных данных. Установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. (п. 13 Постановления №687) • Обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ. Установить соответствующий перечень мер, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер. (п. 15 Постановления № 687)

  22. Действия операторапри обработке персональных данных (при необходимости) (часть 3) • Уведомить по предусмотренной законом форме уполномоченный орган по защите прав субъектов ПД о намерении осуществлять обработку данных. (ч. 1 ст. 22 Закона) • Соблюсти требования к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных.(п. 7 Постановления № 687) • Необходимость ведения журнала (реестра, книги), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных. (п. 8 Постановления № 687)

  23. Случаи уничтожения персональных данных оператором * Срок уничтожения персональных данных - не более 10 рабочих дней. * * Срок уничтожения персональных данных - не более 30 дней. * * Срок уничтожения персональных данных - не более 30 дней. Максимальный срок 6 месяцев * * *

  24. Содержание уведомления об обработке персональных данных • наименование (фамилия, имя, отчество), адрес оператора; • цель обработки персональных данных; • категории персональных данных; • категории субъектов, персональные данные которых обрабатываются; • правовое основание обработки персональных данных; • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; • описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; • фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; • дата начала обработки персональных данных; • срок или условие прекращения обработки персональных данных; • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

  25. Ответственность оператора за нарушениеЗакона о персональных данных

  26. Типичные нарушения в сфере обработки персональных данных (2009-2010 годы)

  27. УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО НОВОСИБИРСКОЙ ОБЛАСТИ Руководитель Управления Зиненко Игорь Алексеевич 630099, г. Новосибирск, ул.Советская, д. 33 Тел./факс: (383) 227-14-41 (секретарь) (383) 227-12-18 (отдел) (383) 227-16-35 (вопросы по уведомлениям) E-mail: rsockanc54@rsoc.ru Официальный сайт: http://54.rsoc.ru

More Related