250 likes | 432 Views
Роскомнадзор: регулирование деятельности кредитных потребительских кооперативов. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу. Руководитель Сахаров Дмитрий Владимирович
E N D
Роскомнадзор:регулирование деятельностикредитных потребительских кооперативов Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу
Руководитель Сахаров Дмитрий Владимирович Адрес ул. Галерная, д. 27, Санкт-Петербург, 190000 BOX 1048, Санкт-Петербург, 190000 Телефон (812) 571-95-66 Факс (812) 325-80-39 E-mail rsockanc78@rsoc.ru Сайт 78.rkn.gov.ru Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу
Государственная функция по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (административный регламент утвержден приказом Минкомсвязи России от 14.11.2011 № 312). Государственная услуга «Ведение реестра операторов, осуществляющих обработку персональных данных» (административный регламент утвержден приказом Минкомсвязи России от 21.12.2011 № 346).
Государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Проведение плановых и внеплановых проверок Федеральный закон от 26.12.2008 № 294-ФЗ (ред. от 02.11.2013) "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" Рассмотрение обращений граждан Федеральный закон от 02.05.2006 № 59-ФЗ (ред. от 02.07.2013) "О порядке рассмотрения обращений граждан Российской Федерации"
Ведение реестра операторов, осуществляющих обработку персональных данных Внесение уведомления об обработке (о намерении осуществлять обработку) персональных данных Внесение информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Предоставление выписки из реестра операторов, осуществляющих обработку персональных данных Рассмотрение заявления об исключении сведений из реестра операторов, осуществляющих обработку персональных данных
Федеральная служба безопасности Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Контролирующие организации в сфере защите персональных данных Федеральная служба по техническому и экспортному контролю Государственная инспекция труда
Основные нормативные акты, выполнение которых проверяется Роскомнадзором Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» http://18.rkn.gov.ru/docs/18/Primernyj_perechen6_dokumentov.doc
Нормативные акты в сфере защиты персональных данных других ведомств Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г.) Трудовой кодекс РФ от 30.12.2001 года № 197-ФЗ
Основные требования Федерального закона № 152-ФЗ «О персональных данных» к обработке персональных данных Условием обработки персональных данных является согласие субъекта персональных данных, предусмотренное требованиями ч. 4 ст. 9 Федерального закона № 152-ФЗ «О персональных данных» Письменное согласие субъекта персональных данных должно включать в себя: фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта ПДн цель обработки ПДн перечень ПДн, на обработку которых дается согласие субъекта перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн срок, в течение которого действует согласие, порядок его отзыва, а также подпись субъекта ПДн
Основные требования Федерального закона № 152-ФЗ «О персональных данных» к обработке персональных данных Обязанность предоставить доказательство получения согласия субъекта ПД возлагается на оператора ПД. ч. 3 ст. 9 В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. ч. 3 ст. 6 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. ч. 5 ст. 6
Основные требования Федерального закона № 152-ФЗ «О персональных данных» к обработке персональных данных Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. ст. 7 Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. ч. 1 ст. 22.1 Обработка персональных данных в целях продвижения товаров,работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. ч. 1 ст. 15
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» Оператор при обработке персональных данных обязан принимать необходимые правовые организационные и технические меры для защиты персональных данных от случайного и несанкционированного доступа к ним ч. 1 ст. 19 При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона ч. 1 ст. 18 Субъект персональных данных имеет право на получение следующей информации, касающейся обработки его персональных данных: 1. подтверждение факта обработки данных и цель такой обработки; 2. способы обработки персональных данных, применяемые оператором; 3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 4. перечень обрабатываемых данных и источник их получения; 5. сроки обработки персональных данных, в том числе сроки их хранения; 6. сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных. ч. 7 ст. 14
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона «О персональных данных», оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения ПД. ч. 3 ст. 18 Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя. ч. 1 ст. 20
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. ч. 3 ст. 21 В случае достижения цели обработки персональных данных оператор обязан прекратить обработку таких данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами либо договором, стороной которого является субъект персональных данных ч. 4 ст. 21
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва ч. 5 ст. 21 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. ч. 1 ст. 18.1
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Ч. 2 ст. 18.1
Обязанности оператора при обработке персональных данных Основные требования 152–ФЗ «О персональных данных» Ст. 22 ФЗ № 152-ФЗ «О персональных данных» Оператор до начала обработки ПД обязан уведомить Уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку ПД Уведомление В электронной форме с электронной цифровой подписью В письменной форме с подписью уполномоченного лица
Несоответствие содержания письменного согласия субъекта ПДнна обработку персональных данных требованиям законодательства РФ. Отсутствие в поручении лицу, которому оператором поручается обработка ПДн, обязанности соблюдения конфиденциальности ПДни обеспечения их безопасности, а так же требований к защите обрабатываемых ПДн. Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политикув отношении обработки ПДн, к сведениям о реализуемых требованияхк защите ПДн. Отсутствие у оператора места (мест) хранения ПДн (материальных носителей), перечня лиц, осуществляющих обработку ПДнлибо имеющих к ним доступ. Поручение иному лицу осуществлять обработку ПДн без согласия субъекта ПДн. Типичные нарушения требований законодательства
Административные правонарушения в области персональных данных Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПД) штраф Статья 13.11 штраф, конфискация, приостановление деятельности Нарушение правил защиты информации: нарушение условий лицензии; использование несертифицированных ИС, баз и банков данных Статья 13.12 Незаконная деятельность в области защиты информации штраф, конфискация Статья 13.13 Разглашение информации с ограниченным доступом штраф Статья 13.14 Нарушение требований законодательства о хранении документов штраф Статья 13.25 Непредставление сведений (информации) штраф Статья 19.7
Сейчас: предупреждение или наложение административного штрафа на граждан в размере [300-500] рублей; на должностных лиц – [500-1000] рублей; на юридических лиц - от [5000-10000] рублей. Проект изменений в ст. 13.11 http://rkn.gov.ru/docstore/doc1353.htm
В проекте: 13.11.1. Обработка персональных данных без согласия субъекта (субъектов) персональных данных, а равно обработка персональных данных с нарушением установленной законом формы согласия. 13.11.2. Незаконная обработка специальных категорий персональных данных. 13.11.3. Несоблюдение условий трансграничной передачи персональных данных. Существенное увеличение размера штрафов: до 2 % совокупного дохода за прошедший отчетный год, но не менее 700 тысяч рублей. Проект изменений в ст. 13.11 http://rkn.gov.ru/docstore/doc1353.htm
Уголовные преступленияв области персональных данных штраф, либо обязательные работы, либо исправительные работы, либо арест Статья 137 Нарушение неприкосновенности частной жизни штраф, либо обязательные работы, либо исправительные работы Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений Статья 138 штраф, либо лишение права занимать определенные должности или заниматься определенной деятельностью Отказ в предоставлении гражданину информации Статья 140 штраф, либо исправительные работы, либо арест с лишением права занимать определенные должности или заниматься определенной деятельностью Нарушение тайны усыновления (удочерения) Статья 155
Уголовные преступленияв области персональных данных штраф, либо штраф с лишением права занимать определенные должности или заниматься определенной деятельностью, либо лишение свободы Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну Статья 183 Неправомерный доступ к компьютерной информации штраф, либо исправительные работы, либо лишение свободы Статья 272 Создание, использование и распространение вредоносных компьютерных программ лишение свободы и штраф Статья 273 лишение права занимать определенные должности или заниматься определенной деятельностью, либо обязательные работы, либо лишение свободы Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и ИКС Статья 274
Спасибо за внимание! Семёнов Илья СергеевичИ.о. начальника отдела по защите прав субъектов персональных данных и надзору в сфере информационных технологий (812) 310 61 61 Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу