1 / 13

Законодательные основы проведения проверки Роскомнадзора

Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных  актов, регулирующих обработку и защиту персональных данных в компании. Законодательные основы проведения проверки Роскомнадзора. Правовыми основаниями проверки являются:

dieter-chang
Download Presentation

Законодательные основы проведения проверки Роскомнадзора

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных  актов, регулирующих обработку и защиту персональных данных в компании.

  2. Законодательные основы проведения проверки Роскомнадзора • Правовыми основаниями проверки являются: • Трудовой кодекс РФ (Глава 14); • Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; • Федеральный закон от 27.07.2006 3152-ФЗ «О персональных данных»; • Постановление Правительства РФ от 06.07.08 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; • Постановление Правительства РФ от 15.09.08 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; • Постановление Правительства РФ от 17.11.07 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; • Приказ ФСТЭК России, ФСБ России, Минсвязи России №55/86/20 от 13.02.08 «Об утверждении порядка проведения классификации информационных системах персональных данных».

  3. Законодательные основы проведения проверки Роскомнадзора • Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: • Вступил в силу с 1 мая 2009 года. • Срок проведения проверки 20 рабочих дней. В исключительных случаях может быть пролонгирован еще на 20 рабочих дней. • Акт проверки оформляется непосредственно после ее завершения в двух экземплярах. • Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.09 №141). • Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.

  4. Основные мероприятия Оператора ПД К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся: • Анализ персональных данных, обрабатываемых Оператором. • Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных. • Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового. • Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).

  5. Основные мероприятия Оператора ПД • Проверка обработки ПД без использования средств автоматизации. Положение об обработке ПД без использования средств автоматизации должно предусматривать: • перечень обрабатываемых ПД; • отдельные материальные носители для каждой категории ПД; • ознакомление с ним сотрудников Оператора; • порядок уничтожения или обезличивания ПД; • организацию раздельного хранения ПД различных категорий; • при необходимости правила ведения журнала для пропуска субъекта ПД на территорию Оператора.

  6. Основные мероприятия Оператора ПД • Проверка соблюдения требований при обработке ПД работников Оператора. Положение об обработке ПД работников должно включать в себя: • перечень обрабатываемых ПД работников; • необходимость ознакомления с ним работников Оператора; • перечень случаев получения письменного согласия от работника; • порядок хранения и использования ПД работника; • соблюдение требований при передаче ПД работника.

  7. Основные мероприятия Оператора ПД • Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя: • утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД; • наличие перечня лиц, имеющих допуск в помещение; • наличие и порядок обмена ПД при их обработке в ИСПДн; • включение в договор условия о конфиденциальности ПД; • наличие электронного журнала обращений на получение ПД; • наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.

  8. Основные мероприятия Оператора ПД • Проверка наличия трансграничной передачи ПД. В случае ее осуществления принимаются следующие меры: • Выявляются иностранные государства, на территорию которых передаются ПД; • Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы: - письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.

  9. Основные мероприятия Оператора ПД • Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя: • выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).

  10. Основные мероприятия Оператора ПД • Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя: • перечень документов и их сроки хранения; • порядок уничтожения документов; • утвержденный состав органа, в полномочия которого входит уничтожение документов.

  11. Примерный перечень документов, касающихся обработки ПД К документам, регулирующим или касающимся обработки персональных данных относятся: • Положение об обработке ПД работников; • Положение о неавтоматизированной обработке ПД; • Утвержденный перечень лиц, обрабатывающих ПД; • Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку; • Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;

  12. Примерный перечень документов, касающихся обработки ПД • Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении; • Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД; • Положение о порядке работы с документами, содержащими конфиденциальную информацию; • Журнал для пропуска субъекта ПД на территорию Компании; • Акт классификации информационных систем ПД (ИСПДн); • Приказ о назначении комиссии по классификации ИСПДн; • Перечень технических средств, участвующих в обработке ПД.

  13. ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовила: Долганова Наталья Станиславовна— старшийюрисконсульт ООО «Управляющая компания «КапиталЪ» (495)777-01-70 (доб. 2422) Natalya.Dolganova@kapital-am.ru

More Related