210 likes | 412 Views
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Тема: «Порядок уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных.
E N D
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Тема: «Порядок уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных. Ведущий специалист – эксперт отдела надзора и контроля в сфере связи и обработки персональных данных Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Э.И. Лощинин
Перечень основных нормативных правовых актов Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». «Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера» от 28.01.1981 EST № 108. Федеральный закон от 19.12.2005 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных». Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите данных». Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства РФ от 15.10.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Постановление Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
Нормативные правовые акты (О Реестре операторов, осуществляющих обработку персональных данных и Уведомлении об обработке персональных данных) 1. Федеральный закон от 27.07.2006 № 152 – ФЗ «О персональных данных». В соответствии с пунктом 3 части 5 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Уполномоченный орган по защите прав субъектов персональных данных обязан вести Реестр операторов, осуществляющих обработку персональных данных. 2.Постановление Правительства Российской Федерации от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций». Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. 3. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 30.01.2010 № 18 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных». 4. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16.07.2010 № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Тема: «Порядок подачи уведомлений об обработке (о намерении осуществлять обработку) персональных данных.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целяхзащиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных. 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. 5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов. 6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Зарегистрировано в Минюсте РФ 24 марта 2010 г. N 16717 МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 30 января 2010 г. N 18 ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПО ИСПОЛНЕНИЮ ГОСУДАРСТВЕННОЙ ФУНКЦИИ "ВЕДЕНИЕ РЕЕСТРА ОПЕРАТОРОВ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ" В целях реализации пункта 3 части 5 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439), в соответствии с пунктом 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431), Постановлением Правительства Российской Федерации от 11 ноября 2005 г. N 679 "О порядке разработки и утверждения административных регламентов исполнения государственных функций (предоставления государственных услуг)" (Собрание законодательства Российской Федерации, 2005, N 47, ст. 4933; 2007, N 50, ст. 6285; 2008, N 18, ст. 2063; 2009, N 41, ст. 4765), приказываю: 1. Утвердить прилагаемый Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных". 2. Направить настоящий Приказ на государственную регистрацию в Министерство юстиции Российской Федерации. 3. Признать утратившим силу Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных" (зарегистрирован в Министерстве юстиции Российской Федерации 18 апреля 2008 г., регистрационный N 11554). 4. Контроль за исполнением настоящего Приказа возложить на заместителя Министра связи и массовых коммуникаций Российской Федерации А.А. Солдатова. Министр И.О.ЩЕГОЛЕВ
Поступление Уведомления от Оператора в территориальный орган Роскомнадзора Регистрация Уведомления сотрудником территориального органа Роскомнадзора, ответственным за делопроизводство Да Нет Сведения в Уведомлении удовлетворяют требованиям законодательства Российской Федерации Направление Оператору письма о необходимости уточнения и дополнения сведений, содержащихся в Уведомлении Внесение сведений, представленных в Уведомлении Оператором, в ЕИС и направлении их в центральный аппарат Роскомнадзора БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ВНЕСЕНИЯ СВЕДЕНИЙ ОБ ОПЕРАТОРЕ В РЕЕСТР Издание приказа о внесении сведений об Операторе в Реестр Внесение записи в Реестр Размещение информации на официальном сайте Роскомнадзора
БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ВНЕСЕНИЯ ИЗМЕНЕНИЙ В СВЕДЕНИЯ ОБ ОПЕРАТОРЕ В РЕЕСТР Поступление от Оператора информационного письма в территориальный орган Роскомнадзора с указанием основания изменений сведений Регистрация информационного письма сотрудником территориального органа Роскомнадзора, ответственным за делопроизводство Внесение копии информационного письма сотрудником территориального органа в ЕИС и направление в центральный аппарат Роскомнадзора Издание приказа о внесении изменений в сведения об Операторе в Реестр Внесение записи в Реестр Размещение информации на официальном сайте Роскомнадзора
БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ИСКЛЮЧЕНИЯ СВЕДЕНИЙ ОБ ОПЕРАТОРЕ ИЗ РЕЕСТРА Поступление обращения от Оператора в территориальный орган Роскомнадзора об исключении сведений об Операторе из Реестра Регистрация обращения сотрудником территориального органа Роскомнадзора, ответственным за делопроизводство Сведения об обращении соответствуют прилагаемым документам Да Нет Внесение копии обращения сотрудником территориального органа Роскомнадзора в ЕИС и направление в центральный аппарат Роскомнадзора Направление Оператору письма о необходимости уточнения и дополнения сведений, содержащихся в обращении Издание приказа об исключении сведений об Операторе из Реестра Внесение записи в Реестр Размещение информации на официальном сайте Роскомнадзора
45. Операторы исключаются из Реестра при наступлении одного из следующих условий: 45.1. Ликвидация Оператора; 45.2. Прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования; 45.3. Прекращение Оператором деятельности по обработке персональных данных; 45.4. Аннулирование лицензий на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 45.5. Наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении; 45.6. Вступившее в законную силу решение суда о прекращении Оператором деятельности по обработке персональных данных.
БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ПРЕДОСТАВЛЕНИЯ ВЫПИСКИ ИЗ РЕЕСТРА Поступление запроса от заявителя в территориальный орган Роскомнадзора о предоставлении выписки из Реестра Регистрация запроса сотрудником территориального органа Роскомнадзора, ответственным за делопроизводство Сведения в запросе соответствуют требованиям пункта 57 Регламента 57. Выписка из Реестра предоставляется при наличии в запросе следующих параметров: 57.1. Наименования юридического лица, фамилии, имени, отчества физического лица; 57.2. Почтового адреса юридического лица, физического лица. Да Нет Подготовка выписки из Реестра и направление ее заявителю по почте с уведомлением о вручении Направление заявителю письма с указанием причины отказа
Приложение N 1 к Приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16 июля 2010 г. N 482 Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ___________________________________ УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных ___________________________________________________________________________ (полное (сокращенное) наименование, фамилия, имя, отчество) ___________________________________________________________________________ (адрес местонахождения, почтовый адрес оператора) руководствуясь: ___________________________________________________________________________ (правовое основание обработки персональных данных) с целью: ___________________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: ___________________________________________________________________________ (категории персональных данных) принадлежащих: ___________________________________________________________________________ (категории субъектов, персональные данные которых обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем: ___________________________________________________________________________ (перечень действий с персональными данными, общее описание используемых ____________________________________________________________________________________________ оператором способов обработки персональных данных, описание мер, ____________________________________________________________________________________________ которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке) Дата начала обработки персональных данных: ____________________________ Срок или условие прекращения обработки персональных данных: ___________________________________________________________________________ _______________ ______________________________ (должность) (подпись) расшифровка подписи "__" __________ 20__ г.
Приложение N 2 к Приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16 июля 2010 г. N 482 РЕКОМЕНДАЦИИ ПО ЗАПОЛНЕНИЮ ОБРАЗЦА ФОРМЫ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ) ПЕРСОНАЛЬНЫХ ДАННЫХ
Доступ к сведениям, содержащим персональные данные, хранящимся в ПЭВМ, обеспечен с использованием индивидуальных паролей (доступ лишь для строго определенных сотрудников МОУ ___________________________). Информация на бумажных носителях хранится в сейфах, осуществляется охрана помещений. В соответствии с пунктом 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» проведена классификация информационной системы персональных данных МОУ _______________________ и присвоен класс – К3. В случае не использования шифровальных (криптографических) средств (в уведомлении выделенные эти две строки не показывать) Шифровальные (криптографические) средства в МОУ ___________________________ не используются. В случае использования шифровальных (криптографических) средств (в уведомлении выделенные эти две строки не показывать) При передаче персональных данных используется КриптоПро CSP серийный номер ____________________________. Производители используемых криптографических средств_______________________; уровень криптографической защиты персональных данных ______; уровень специальной защиты от утечки по каналам побочных излучений и наводок__________; уровень защиты от несанкционированного доступа _______. (описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке) Дата начала обработки персональных данных: __.__._____ г. Срок или условие прекращения обработки персональных данных: Ликвидация, реорганизация, изменение законодательства или деятельности МОУ __________________________ . Территория обработки: Ивановская область, Код региона – 37. Директор (должность) (подпись) (расшифровка подписи) “__” ______ 2010 г.
Адрес 153000, г. Иваново, пр-т Ленина, д. 17 оф. 335 Телефон (4932) 41-00-55 Факс (4932) 41-00-49 E-mail rsockanc37@rsoc.ru Руководитель Управления Девочкин Владимир Николаевич Сайт 37.rsoc.ru
СПАСИБО ЗА ВНИМАНИЕ Ведущий специалист – эксперт отдела надзора и контроля в сфере связи и обработки персональных данных Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Э.И. Лощинин тел. (4932) 41-00-48