Выполнение закона В ФЗ №152

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Принципы обработки персональных данных:1) законность целей и способов обработки персональных данных и добросовестность;2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;4) достоверность персональных данных, их достаточность для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Нормативные правовые акты

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

ИЗМЕНЕНИЯ В ФЗ №152«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Статья 1

• Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изменение, изложив ее в следующей редакции:

• «3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.».

Статья 2

Настоящий Федеральный закон вступает в силу с 1 января 2011 года.

Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах:

5 (правовое основание обработки персональных данных),7.1 (фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты),10 (сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки)11 (сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации) части 3 статьи 22 настоящего Федерального закона.

Глава 6. Заключительные положения.

5

СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ

СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ

Контроль и надзор за выполнением требований по защите ПДн

Федеральная служба безопасности

(ФСБ)

•курирует вопросы защиты ПДн с помощью шифровальных (криптографических) средств

Федеральная служба по техническому и

экспортному контролю (ФСТЭК)

•курирует вопросы, связанные с технической защитой ПДн, за исключением криптографической защиты.

Федеральная служба по надзору в сфере связи,

массовых коммуникаций (Роскомнадзор)

•надзор за соблюдением требований, установленных федеральным законом «О персональных данных» №152 (ФЗ-152): порядок сбора, обработки, уничтожения ПДн •защита прав субъектов ПДн в суде

(Под технической защитой конфиденциальной информации понимается комплекс мероприятий по ее защите от несанкционированного доступа (НСД), в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней).

Адрес: 664011, г.Иркутск, ул.Халтурина, 7 (а/я 169)Телефон: (3952) 25-50-93, факс: (3952) 34-19-91Официальный сайт: http://www.fsb.ru

Адрес: 630091, г. Новосибирск, Красный проспект, д. 41.Телефон: (383) 203-54-01Официальный сайт: http://www.fstec.ru

Адрес: 644003 г.Иркутск, ул.Литвинова, д.13Телефон: (3952) 341-636Официальный сайт:http://38.rsoc.ru

8

Контроль и надзор за выполнением требований по защите ПДн

Указанные органы могут проводить документарные и выездные плановые и внеплановые проверки. Важно учитывать, что проверки могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении не включенных в реестр операторов, но фактически осуществляющих обработку ПДн.

Перед проверкой надзорный орган уведомляет организацию о предстоящей процедуре. В случае плановой проверки – не позднее, чем за 3 рабочих дня до дня начала проверки, в случае внеплановой – не позднее 24-х часов до начала проверки.

9

Контроль и надзор за выполнением требований по защите ПДн

Предметом документарной проверки являются следующие документы:уведомление об обработке ПДн документы, необходимые для проверки фактов, (содержащих признаки

нарушения законодательства РФ в области ПДн) изложенных в обращениях граждан и информации, поступившей в надзорный орган

документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области ПДн

согласие субъекта ПДн на обработку его персональных данныхлокальные акты оператора, подтверждающие соблюдение требований

законодательства РФ при обработке специальных категорий и биометрических ПДн

локальные акты оператора, подтверждающие уничтожение ПДн по достижении цели их обработки

локальные акты оператора, регламентирующие порядок и условия обработки ПДн

10

Контроль и надзор за выполнением требований по защите ПДн

В первую очередь проверяются документы организации, имеющиеся в распоряжении надзорного органа. Если во время проверки возникает необходимость в иных документах, то надзорный орган вправе запросить в письменном виде у организации соответствующие документы.

К мотивированному запросу обязательно прилагается заверенная печатью копия распоряжения или приказа руководителя надзорного органа, на основании которого проводится проверка.

В течение десяти рабочих дней со дня получения запроса организация обязана направить в надзорный орган запрашиваемые документы. Документы (копии) должны быть заверены печатью организации.

11

Контроль и надзор за выполнением требований по защите ПДн

Надзорный орган не вправе требовать:

нотариально заверенные копии документовдокументы, не относящиеся к предмету документарной проверкисведения и документы, которые могут быть получены этим органом от

иных органов государственного контроля (надзора), органов муниципального контроля.

12

Контроль и надзор за выполнением требований по защите ПДн

Выездная проверка является формой документарной проверки, которая проводится сотрудниками надзорного органа по месту нахождения организации.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении надзорного органа.

Оператор обязан предоставить должностным лицам надзорного органа возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющим в здания, строения, сооружения, помещения и к оборудованию, используемому оператором для обработки ПДн.

Должностные лица надзорного органа не вправе изымать оригиналы документов. 13

Контроль и надзор за выполнением требований по защите ПДн

Внеплановые проверки проводятся:

Роскомнадзором в случае:получения обращений, жалоб (как от субъектов ПДн, так и

организаций, государственных и муниципальных органов) или информации из СМИ о возникновении угрозы здоровью или жизни граждан, а также о непосредственном причинении вреда здоровью или жизни граждан

нарушения законных прав и интересов субъектов ПДн при обработке оператором ПДн

получения от Правительства РФ или Президента РФ соответствующих поручений

истечения срока исполнения оператором предписания об устранении нарушений, выявленных во время предыдущих проверок

ФСТЭК России и ФСБ России по обращению Роскомнадзора. 14

Контроль и надзор за выполнением требований по защите ПДн

Плановые проверки проводятся на основании плана проверок на текущий год, с которым можно ознакомиться по следующему адресу: http://www.rsoc.ru/plan-and-reports/contolplan

Основанием включения оператора в годовой план является начало оператором обработки ПДн. Плановые проверки проводятся не чаще чем один раз в три года.

ФСТЭК России и ФСБ России также осуществляют контрольно-надзорные функции за лицензиатами (организациями, имеющими лицензии соответственно ФСТЭК России и ФСБ России, и оказывающие услуги по технической защите информации). Реестр лицензиатов ФСТЭК находится по следующему адресу:

http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls;

15

Результаты операции «Всеобуч»

41%

80%

96%

30% 30%

65%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Уведомление вРоссвязькомнадзор

Положение обобработке ПД

Согласие субъекта на обработку его ПД

Локальные актыоператора,

подтверждающиесоблюдениетребований

Локальные актыоператора,

регламентирующиепорядок и условия

обработки ПДн

Школьныенормативные

документы

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ДЛЯ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ

ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ

ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ИРКУТСКОЙ ОБЛАСТИ

17

Сборник состоит из четырех частей:• В первой части методических рекомендаций (разделы 1-4) содержатся общие

сведения о применяемых в документах понятиях, законодательстве и способах организации системы защиты.

• Во второй части методических рекомендаций (разделы 5-7) подробно рассматриваются информационные системы персональных данных в учреждениях и способы приведения их в соответствие законодательству.

• Третья часть методических рекомендаций (разделы 8-14) посвящена подробным рекомендациям по механизмам защиты, необходимой документации, рекомендациям при работе с бумажными носителями и способами понижения требований к защите персональных данных.

• Заключительная четвертая часть методических рекомендаций (разделы 15-19) содержит дополнительные рекомендации для отдельных ситуаций и ответы на часто задаваемые вопросы.

Так же сборник включает в себя:• Акты классификации• Методика составления ЧМУ• Комплект форм учета• Набор типовых бланков• Типовые проекты приказов, инструкций, положений.

18

Спасибо за внимание!