Similar presentations:
Персональные данные и их защита
1.
2.
• Федеральный закон от 27.08.2006 г. № 149-ФЗ «Об информации,информационных технологиях и защите информации»;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об
утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 г. Москва
«Об утверждении Положения об особенностях обработки персональных
данных, осуществляемых без использования средств автоматизации»
• Приказ Федеральной службы по техническому и экспортному контролю
России от 18.02.2013 г. № 21 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных»;
3.
• «Методика определения актуальных угроз безопасности персональныхданных при их обработке в информационных системах персональных
данных», утверждена Заместителем директора ФСТЭК России 14 февраля
2008 года;
• «Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных»,
утверждена Заместителем директора ФСТЭК России 15 февраля 2008
года;
• Приказ ФСБ от 10 июля 2014 г. N 378 «Об утверждении состава и
содержания организационных и технических мер по обеспечению
безопасности
персональных
данных
при
их
обработке
в
информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для
выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней
защищенности».
4.
• Федеральнаяслужба
по
надзору
в
сфере
связи,
информационных технологий и массовых коммуникаций
(Роскомнадзор) – уполномоченный орган по защите прав
субъектов персональных данных;
• Федеральная служба по техническому и экспортному контролю
(ФСТЭК) – вопросы применения технических средств защиты
информации;
• Федеральная служба безопасности (ФСБ) – вопросы применения
средств криптографической защиты информации (шифрования);
• Государственные инспекции труда (ГИТ) – вопросы соблюдения
работодателями требований по защите персональных данных
работников (гл. 14 Трудового кодекса РФ);
• Органы прокуратуры – надзор за соблюдением законов.
5.
любая информация, относящаяся кпрямо или косвенно определенному
или определяемому физическому лицу
(субъекту персональных данных)
6.
государственныйорган,
муниципальный
орган,
юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие или
осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных
данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с
персональными данными
7.
любое действие (операция) или совокупность действий(операций), совершаемых с использованием средств
автоматизации или без использования таких средств с
персональными
данными,
включая
сбор,
запись,
систематизацию,
накопление,
хранение,
уточнение
(обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение
персональных данных)
8.
Обработка ПД должна ограничиваться достижениемконкретных, заранее определенных и законных целей –
этим определяется и срок обработки;
Не допускается обработка ПД, несовместимая с целями
сбора ПД – нельзя что-либо делать с ПД «заодно» и «про
запас»;
Содержание и объем обрабатываемых ПД должны
соответствовать заявленным целям обработки – они не
должны быть избыточными
9.
1. Согласие субъекта ПД;2. Исполнение международных договоров РФ или выполнение
оператором возложенных на него законом обязанностей;
3. Осуществление
правосудия
или
исполнительное
производство;
4. Предоставление государственных или муниципальных услуг;
5. Заключение и исполнение договора, стороной которого
является субъект ПД
10.
6. Защита жизни, здоровья или иных жизненно важных интересовсубъекта ПД, если получение согласия невозможно;
7. Осуществление прав и законных интересов оператора или
третьих лиц, либо для достижения общественно значимых целей
при условии, что при этом не нарушаются права свободы субъекта
ПД;
8. Профессиональная деятельность журналиста и СМИ, научная,
литературная или иная творческая деятельность;
11.
9. Статистические или иные исследовательские цели, при условииобязательного обезличивания ПД;
10. ПД сделаны общедоступными самим субъектом ПД;
11. ПД подлежат опубликованию или обязательному раскрытию в
соответствии с законом.
Перечень исчерпывающий, иные случаи обработки ПД законом
не предусмотрены.
12.
Согласие на обработку ПД может быть дано субъектом влюбой позволяющей подтвердить факт его получения форме,
если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения
согласия или наличия соответствующих оснований (см. случаи
обработки ПД) возлагается на оператора.
В случаях, предусмотренных законом (обработка
специальных категорий ПД, биометрических ПД, трансграничная
передача ПД), согласие должно быть обязательно в письменной
форме, определенной в ч. 4 ст. 9 ФЗ «О персональных данных»
13.
касаются расовой,национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния
здоровья, интимной жизни.
сведения, которые характеризуют
физиологические и биологические особенности человека, на
основании которых можно установить его личность и
которые используются оператором для установления
личности субъекта ПД.
передача ПД на территорию
иностранного государства органу власти иностранного
государства, иностранному физическому лицу или
иностранному юридическому лицу.
14.
1) Назначение ответственного за обработку ПД;2) Издание документов, определяющих политику оператора
в отношении обработки ПД и локальных актов по
вопросам обработки ПД;
3) Применение правовых, организационных и технических
мер по обеспечению безопасности ПД (
сл. слайд);
4) Осуществление внутреннего контроля;
5) Оценка возможного вреда;
6) Ознакомление
работников
с
положениями
законодательства и локальных актов по вопросам ПД.
15.
1) Определение угроз безопасности;2) Применение организационных и технических мер безопасности,
обеспечивающих уровни защищенности;
3) Применение сертифицированных средств защиты информации;
4) Оценка эффективности принимаемых мер;
5) Учет машинных носителей ПД;
6) Обнаружение фактов несанкционированного доступа к ПД;
7) Восстановление модифицированных или уничтоженных ПД;
8) Установление правил доступа к ПД и учета всех действий с ними;
9) Контроль за принимаемыми мерами и уровнем защищенности.
16.
«Оператор до начала обработки персональных данныхобязан уведомить уполномоченный орган по защите прав
субъектов персональных данных,
»
1. Обработка ПД в соответствии с трудовым законодательством;
2. Обработка ПД исключительно в рамках договора с субъектом ПД;
3. Обработка общественным объединением или религиозной
организацией ПД своих членов (участников), если ПД не
распространяются и не раскрываются третьим лицам без
письменного согласия;
17.
4. ПД сделаны субъектом общедоступными;5. ПД включают в себя только ФИО субъектов;
6. ПД необходимы в целях однократного пропуска субъекта
на территорию оператора или в иных аналогичных целях;
7. ПД включены в государственные информационные
системы;
8. Обработка ПД без использования средств автоматизации;
9. Обработка ПД в сфере транспортной безопасности.
любой выход за рамки предусмотренных
исключений нивелирует их действие и обязывает оператора
к подаче уведомления.
18.
Уведомление заполняется в электронной форме на сайтеРоскомнадзора: http://pd.rkn.gov.ru/operators-registry/notification/ (при
заполнении можно руководствоваться Приказом Роскомнадзора от
30.05.2017 № 94 «Об утверждении методических рекомендаций по
уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные
сведения»).
После заполнения уведомление распечатывается в двух
экземплярах, один из которых хранится у оператора, а второй
подписывается руководителем организации и скрепляется печатью,
после чего направляется в территориальный орган Роскомнадзора.
Датой подачи уведомления считается дата заполнения
электронной формы на сайте Роскомнадзора.
19.
Статья 13.11 КоАП (ч.ч. 1 - 6) - Нарушение законодательстваРоссийской Федерации в области персональных данных (штраф на
юридических лиц до 75 000 рублей);
Статья 13.12 КоАП (ч. 2) - Нарушение правил защиты информации
(штраф на юридических лиц до 25 000 рублей);
Статья 13.13 КоАП (ч. 1) - Незаконная деятельность в области защиты
информации (штраф на юридических лиц до 20 000 рублей);
Статья 13.14 КоАП - Разглашение информации с ограниченным
доступом (штраф на граждан до 1 000 рублей);
Статья 5.27 КоАП (ч. 1) - Нарушение трудового законодательства и
иных нормативных правовых актов, содержащих нормы трудового
права (штраф на юридических лиц до 50 000 рублей);
Статья 19.7 КоАП - Непредставление сведений (информации) (штраф
на юридических лиц до 5 000 рублей).