Правовое регулирование в сфере персональных данных

1.

Правовое регулирование
в сфере персональных данных
Лекция 6

2.

Международные соглашения
Конвенция о защите физических лиц в отношении
автоматизированной обработки данных личного характера
от 28 января 1981 г. EST № 108
Директива 95/46/ЕС Европейского парламента и Совета
Европейского Союза от 24 октября 1995 г. «О защите прав
частных лиц применительно к обработке персональных
данных и о свободном движении таких данных»
Директива 97/66/ЕС Европейского парламента и Совета
Европейского Союза от 15 декабря 1997 г. по обработке
персональных данных и защите конфиденциальности в
телекоммуникационном секторе

3.

Федеральный закон
от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»
Целью Федерального закона является обеспечение
защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты
прав на неприкосновенность частной жизни, личную и
семейную тайну

4.

Сфера действия федерального закона
«О персональных данных»
Регулирование отношений, связанных с обработкой ПД,
осуществляемой с использованием средств
автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования
таких средств, если обработка персональных данных без
использования таких средств соответствует характеру
действий (операций), совершаемых с персональными
данными с использованием средств автоматизации, то
есть позволяет осуществлять в соответствии с
заданным алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и
содержащихся в картотеках или иных
систематизированных собраниях персональных данных,
и (или) доступ к таким персональным данным.

5.

Действие ФЗ «О персональных данных»
не распространяется на отношения,
возникающие при:
обработке ПД физическими лицами для личных и
семейных нужд, если при этом не нарушаются права
субъектов ПД;
организации хранения, комплектования, учета и
использования содержащих ПД документов Архивного
фонда РФ и других архивных документов в соответствии
с законодательством об архивном деле в РФ;
обработке персональных данных, отнесенных к
сведениям, составляющим государственную тайну;
предоставлении уполномоченными органами
информации о деятельности судов в Российской
Федерации в соответствии с ФЗ от 22 декабря 2008 года
№ 262-ФЗ «Об обеспечении доступа к информации о
деятельности судов в Российской Федерации».

6.

Понятие и виды персональных данных
Персональные данные - любая информация,
относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту
персональных данных)
Специальные категории персональных данных –
сведения, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или
философских убеждений, состояния здоровья, интимной
жизни
Биометрические персональные данные - сведения,
которые характеризуют физиологические и биологические
особенности человека, на основании которых можно
установить его личность
Общедоступные персональные данные – сведения,
доступ к которым открыт субъектом персональных данных
или на основании закона

7. Обработка персональных данных

Обработка персональных данных - любое действие
(операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или
без использования таких средств с персональными
данными, включая:
сбор,
запись,
систематизацию,
накопление,
хранение,
уточнение (обновление, изменение),
извлечение,
использование,
передачу (распространение, предоставление, доступ),
обезличивание,
блокирование,
удаление,
уничтожение персональных данных

8.

Принципы обработки персональных
данных
Обработка ПД должна осуществляться на законной и
справедливой основе.
Обработка ПД должна ограничиваться достижением
конкретных, заранее определенных и законных
целей. Не допускается обработка ПД, несовместимая с
целями сбора персональных данных.
Не
допускается
объединение
баз
данных,
содержащих ПД, обработка которых осуществляется в
целях, несовместимых между собой.
Содержание и объем обрабатываемых ПД должны
соответствовать заявленным целям обработки.
Обрабатываемые ПД не должны быть избыточными по
отношению к заявленным целям их обработки.

9.

Принципы обработки персональных
данных
При обработке должны быть обеспечены точность
ПД, их достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки ПД.
Хранение ПД должно осуществляться в форме,
позволяющей определить субъекта ПД, не дольше, чем
этого требуют цели обработки, если срок хранения ПД
не установлен федеральным законом, договором,
стороной которого, выгодоприобретателем или
поручителем по которому является субъект ПД.
Обрабатываемые ПД подлежат уничтожению либо
обезличиванию по достижении целей обработки или в
случае утраты необходимости в достижении этих
целей, если иное не предусмотрено федеральным
законом.

10. Обработка персональных данных

Положение об обработке персональных
данных
В Положении следует определить:
- цели и способы обработки ПД;
- категории, типы обрабатываемых ПД;
- категории субъектов, ПД которых обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- условия прекращения обработки ПД;
- порядок получения доступа к ПД;
- условия раскрытия и объем ПД, доступных партнерам и
третьим лицам;
- перечень лиц, ответственных за рассмотрение жалоб и
запросов.

11.

Условия обработки персональных данных
Обработка персональных данных допускается в
следующих случаях:
• с согласия субъекта ПД;
• обработка ПД установлена международным
договором РФ или законом;
• обработка ПД необходима для осуществления
правосудия, исполнения судебного акта;
• обработка ПД необходима для предоставления
государственной или муниципальной, регистрации
субъекта ПД на едином портале государственных и
муниципальных услуг;
• обработка ПД необходима для исполнения договора,
стороной которого либо выгодоприобретателем или
поручителем по которому является субъект
персональных данных;

12.

Условия обработки персональных данных
Обработка персональных данных допускается в
следующих случаях:
• обработка ПД необходима для осуществления прав и
законных интересов оператора или третьих лиц либо
для достижения общественно значимых целей;
• обработка ПД необходима для осуществления
профессиональной деятельности журналиста и (или)
законной деятельности СМИ либо научной,
литературной или иной творческой деятельности;
• обработка ПД осуществляется в статистических или
иных исследовательских целях, при условии
обязательного обезличивания ПД;
• обработка ПД, сделанных общедоступными
субъектом ПД либо по его просьбе;
• осуществляется обработка ПД, подлежащих
опубликованию или обязательному раскрытию в
соответствии с федеральным законом.

13.

Условия обработки персональных данных
третьими лицами
Оператор вправе поручить обработку ПД другому лицу :
• с согласия субъекта ПД, если иное не предусмотрено
федеральным законом,
• на основании заключаемого с этим лицом договора, в
том числе государственного или муниципального
контракта,
• путем принятия государственным или
муниципальным органом соответствующего акта.

14.

Условия обработки персональных данных
третьими лицами
В поручении оператора должны быть определены:
• перечень действий (операций) с персональными
данными,
• цели обработки,
• обязанность соблюдать конфиденциальность ПД и
обеспечивать безопасность ПД при их обработке
• требования к защите обрабатываемых ПД.
Лицо, осуществляющее обработку ПД по поручению
оператора, не обязано получать согласие субъекта ПД.
Ответственность перед субъектом ПД за действия
указанного лица несет оператор.
Лицо, осуществляющее обработку ПД по поручению
оператора, несет ответственность перед оператором.

15. Согласие субъекта ПД на обработку его персональных данных

Субъект ПД дает согласие на обработку свободно, своей
волей и в своем интересе
Согласие на обработку ПД должно быть конкретным
Согласие на обработку ПД может быть:
дано в любой позволяющей подтвердить факт его
получения форме, если иное не установлено
федеральным законом;
отозвано субъектом ПД. В случае отзыва оператор
вправе продолжить обработку ПД без согласия субъекта
персональных данных при наличии оснований,
указанных в Федеральном законе.
Согласие в письменной форме:
на бумажном носителе с собственноручной подписью
субъекта ПД;
электронный документ, подписанный в соответствии с
законодательством РФ электронной подписью.

16. Согласие субъекта ПД на обработку его персональных данных

Согласие в письменной форме должно включать:
1) ФИО, адрес субъекта ПД, реквизиты основного документа,
удостоверяющего его личность;
2) ФИО, адрес представителя субъекта ПД, реквизиты основного
документа, удостоверяющего его личность, реквизиты доверенности
или иного документа, подтверждающего полномочия этого
представителя;
3) наименование или ФИО и адрес оператора;
4) цель обработки ПД;
5) перечень ПД, на обработку которых дается согласие;
6) наименование или ФИО и адрес лица, осуществляющего обработку
ПД по поручению оператора, если обработка будет поручена такому
лицу;
7) перечень действий с ПД, на совершение которых дается согласие,
общее описание используемых оператором способов обработки
персональных данных;
8) срок, в течение которого действует согласие субъекта ПД, а также
способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта ПД.

17. Основные субъекты правоотношений в области персональных данных

Субъект персональных данных - физическое лицо, к
которое прямо или косвенно определяется по
персональным данным
Оператор - государственный орган, муниципальный
орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели
обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными
Уполномоченный орган по защите прав субъектов
персональных данных

18. Права субъекта персональных данных

• принимать решение о предоставлении своих ПД и
давать согласие на их обработку
• отзывать согласие на обработку ПД
• иметь доступ к своим ПД
• получать сведения об операторе
• требовать от оператора уточнения своих ПД
• получать информацию, касающуюся характера и
способов обработки его ПД
• обжаловать действия или бездействие оператора в
уполномоченный орган по защите прав субъектов ПД
или в судебном порядке
• право на защиту своих прав и законных интересов, в
том числе на возмещение убытков и (или)
компенсацию морального вреда в судебном порядке

19. Ограничение права субъекта персональных данных

Право субъекта персональных данных на доступ к своим
персональным данным ограничивается в случае, если:
1) обработка осуществляется в целях обороны страны,
безопасности государства и охраны правопорядка;
2) обработка осуществляется органами, осуществившими
задержание субъекта персональных данных по
подозрению в совершении преступления;
3) предоставление персональных данных нарушает
конституционные права и свободы других лиц.

20.

Обязанности оператора по уведомлению
До начала обработки ПД обязан уведомить
уполномоченный орган по защите прав субъектов
персональных данных о намерении осуществлять
обработку ПД, прекратить обработку или изменить
порядок обработки

21. Виды операторов, внесенных в Реестр

• общеобразовательные школы
• дошкольные учреждения
• учреждения здравоохранения и социального
обеспечения
• учреждения ЖКХ (ТСЖ)
• средние и высшие учебные заведения
профессионального образования
• кредитные учреждения
• туроператоры
• коллекторские агентства
В настоящее время в реестре содержатся данные о 321 916 операторах
персональных данных (по состоянию на 12.04.2015)

22.

Обязанности оператора по уведомлению
Оператор вправе осуществлять без уведомления обработку
персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора,
стороной которого является субъект ПД;
3) относящихся к членам (участникам) общественного объединения
или религиозной организации и обрабатываемых
соответствующими общественным объединением или
религиозной организацией;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только ФИО субъектов ПД;
6) необходимых в целях однократного пропуска субъекта ПД на
территорию, на которой находится оператор, или в иных
аналогичных целях;
7) включенных в информационные системы ПД, имеющие статус ГАС;
8) обрабатываемых без использования средств автоматизации.

23.

http://pd.rkn.gov.ru/operators-registry/notification/form/
Информация из реестра операторов

24.

Обязанности оператора при сборе ПД
предоставить субъекту ПД по его просьбе информацию об его
ПД;
разъяснить субъекту ПД юридические последствия отказа
предоставить ПД, если это предусмотрено законодательством
РФ;
если ПД получены не от субъекта ПД, оператор, до начала
обработки предоставить субъекту ПД следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес
оператора или его представителя;
2) цель обработки ПД и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта ПД;
5) источник получения ПД.

25.

Меры, направленных на обеспечение
выполнения оператором обязанностей
Оператор самостоятельно определяет состав и перечень
указанных мер, если иное не предусмотрено законодательством РФ.
К таким мерам могут относиться:
1) назначение ответственного за организацию обработки ПД;
2) издание документов и локальных актов по вопросам обработки ПД;
3) применение правовых, организационных и технических мер по
обеспечению безопасности ПД;
4) осуществление контроля соответствия обработки ПД требованиям
законодательства РФ и локальных актов оператора;
5) оценка вреда, который может быть причинен субъектам ПД в случае
нарушения законодательства РФ, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение
выполнения обязанностей;
6) ознакомление работников оператора, непосредственно
осуществляющих обработку ПД, с положениями законодательства РФ о
персональных данных и локальными актами оператора в отношении
персональных данных.

26. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 1 ноября 2012 г. N 1119 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБ

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 1 ноября 2012 г. N 1119
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ
ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ

27. Уровни защищенности персональных данных

• Угрозы 1-го типа: связанные с наличием
недокументированных (недекларированных)
возможностей в системном программном обеспечении.
• Угрозы 2-го типа: связанные с наличием
недокументированных (недекларированных)
возможностей в прикладном программном
обеспечении, используемом в информационной
системе.
• Угрозы 3-го типа: все остальные

28.

ООО «Е.Софт»

29.

30. Требования к защите ПД

организация режима обеспечения безопасности помещений,
препятствующего
возможности
неконтролируемого
проникновения или пребывания в этих помещениях лиц, не
имеющих права доступа в эти помещения
+
+
+
+
обеспечение сохранности носителей персональных данных
+
+
+
+
утверждение
руководителем
оператора
документа,
определяющего
перечень
лиц,
доступ
которых
к
персональным данным, необходим для выполнения ими
служебных (трудовых) обязанностей
использование СЗИ,
прошедших процедуру оценки
соответствия требованиям законодательства РФ в области
обеспечения безопасности информации
+
+
+
+
+
+
+
+
назначено должностное лицо (работник), ответственный за
обеспечение безопасности персональных данных в
информационной системе
доступ к содержанию электронного журнала сообщений был
возможен
исключительно
для
должностных
лиц
(работников) оператора или уполномоченного лица,
которым сведения, содержащиеся в указанном журнале,
необходимы для выполнения служебных (трудовых)
обязанностей
автоматическая регистрация в электронном журнале
безопасности изменения полномочий сотрудника оператора
по доступу к персональным данным, содержащимся в
информационной системе
создание структурного подразделения, ответственного за
обеспечение безопасности персональных данных
+
+
+
+
+
+
+

31.

БАЗОВАЯ МОДЕЛЬ
УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
утверждена
Заместителем директора ФСТЭК России
15 февраля 2008 г.

32.

33. Описание угроз несанкционированного доступа к ПД

34.

Оператор обязан
применять средства
защиты, прошедшие в
установленном порядке
процедуру оценки
соответствия, то есть
имеющие сертификат
соответствия.
Ответственность оператора за использование
несертифицированных средств защиты (п. 2 ст. 13.12 КоАП):
• штраф
• для юридических лиц – конфискация
несертифицированных средств защиты.
Перечень сертифицированных средств защиты –
www.fstec.ru

35. Криптографические средства защиты информации

Положение о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств
защиты информации (Положение ПКЗ-2005), утвержденное
приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован
Минюстом России 3 марта 2005 года, регистрационный № 6382);
Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не
содержащей сведений, составляющих государственную тайну, в
случае их использования для обеспечения безопасности
персональных данных при их обработке в информационных
системах персональных данных (ФСБ России, № 149/6/6-622,
2008);
Методические рекомендации по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств автоматизации, утверждены
руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54144

36.

Обязанности оператора в случае нарушения
законодательства
• по запросу субъекта ПД либо уполномоченного органа по
защите прав субъектов ПД оператор обязан осуществить
блокирование неправомерно обрабатываемых ПД,
• в случае выявления неточных ПД: блокировать,
уточнить неточные ПД в течение 7 рабочих дней со дня
представления таких сведений и снять блокирование ПД.
• в случае выявления неправомерной обработки ПД:
– в срок, не превышающий 3 рабочих дней, прекратить
неправомерную обработку ПД
– если обеспечить правомерность обработки ПД
невозможно, в срок, не превышающий 10 рабочих дней
уничтожить такие ПД
– уведомить субъекта ПД о принятых мерах.

37.

Обязанности оператора в случае нарушения
законодательства
• При достижении цели обработки ПД прекратить
обработку ПД и уничтожить ПД в срок, не превышающий
30 дней
• В случае отзыва субъектом согласия на обработку его
персональных данных оператор обязан прекратить их
обработку и в случае, если сохранение персональных
данных более не требуется для целей обработки
персональных данных, уничтожить персональные данные в
срок, не превышающий 30 дней с даты поступления
указанного отзыва, если иное не предусмотрено договором.
• В случае отсутствия возможности уничтожения
персональных данных в течение 30 дней, оператор
осуществляет блокирование таких персональных данных и
обеспечивает уничтожение персональных данных в срок не
более чем 6 месяцев, если иной срок не установлен
федеральными законами.

38.

Уголовная ответственность
за нарушение требований ФЗ «О персональных данных»
ст. 137 УК РФ – незаконное собирание и распространение
сведений о частной жизни лица, составляющих его личную и
семейную тайну, без его согласия либо распространение этих
сведений в публичном выступлении;
ст. 140 УК РФ – неправомерный отказ должностного лица в
предоставлении документов и материалов, непосредственно
затрагивающих права и свободы гражданина, либо
предоставление гражданину неполной или заведомо ложной
информации;
ст. 272 УК РФ – неправомерный доступ к охраняемой законом
компьютерной информации, если это деяние повлекло за
собой уничтожение, блокирование, модификацию либо
копирование информации, нарушение работы ЭВМ, системы
ЭВМ или их сети.

39.

Административная ответственность
за нарушение требований ФЗ «О персональных данных»
ст. 5.39 КоАП РФ – отказ в предоставлении гражданину документов и
материалов, непосредственно затрагивающих права и свободы
гражданина либо несвоевременное представление таких материалов,
либо предоставление гражданину неполной или заведомо
недостоверной информации;
ст. 13.11 КоАП РФ – нарушение установленного законом порядка
сбора, хранения, использования и распространения персональных
данных;
ст. 13.12 КоАП РФ - нарушение условий, предусмотренных лицензией
на осуществление деятельности в области защиты информации ;
- использование несертифицированных информационных систем, баз и
банков данных, а также несертифицированных средств защиты
информации, если они подлежат обязательной сертификации;
ст. 13.14 КоАП РФ – разглашение информации, доступ к которой
ограничен федеральным законом;
ст. 19.7 КоАП РФ – непредставление или несвоевременное
представление уведомления об обработке персональных данных или
иной информации по запросу уполномоченного органа.

40.

Проект проекта федерального закона "О внесении
изменений в КоАП РФ"
Разработчик - Минкомсвязь России
Проект предусматривает:
1) повышение штрафов
Штраф за нарушение порядка обработки ПД увеличится
для граждан с 300-500 руб. до 3000-5000 руб.;
для должностных лиц — с 500-1000 руб. до 30 000-50 000 руб;
для юридических лиц — с 5000-10 000 руб. до 200 000-500 000
руб.;
вводится штраф для индивидуальных предпринимателей — в
размере 30 000-50 000 руб.
Впервые устанавливается наказание для лиц, ранее
подвергнутых штрафу за аналогичное правонарушение:
наложение штрафа для граждан в размере 5000 руб;
для должностных лиц — в размере 50 000 руб или
дисквалификация на срок до 1 года; для индивидуальных
предпринимателей — в размере 50 000 руб.;
для юридических лиц — в размере от 500 000 до 1 000 000 руб.

41.

Проект проекта федерального закона "О внесении
изменений в КоАП РФ"
Разработчик - Минкомсвязь России
2) увеличение срока давности привлечения к ответственности
за нарушение законодательства о защите персональных
данных до 1 года со дня совершения правонарушения;
3) передача полномочий по возбуждению дел об
административных правонарушениях по статье 13.11 КоАП
"Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации
о гражданах (персональных данных)" от органов прокуратуры
должностным лицам Роскомнадзора. На них возлагаются
полномочия по рассмотрению дел данной категории, или их
передача на рассмотрение судье.

42.

Гражданско-правовая ответственность
Субъект ПД в судебном порядке может требовать также
возмещения убытков и (или) компенсации морального
вреда
Убытки - расходы, которые лицо, чье право нарушено,
произвело или должно будет произвести для восстановления
нарушенного права (реальный ущерб), а также
неполученные доходы, которые это лицо получило бы, если
бы его право не было нарушено (упущенная выгода).
Моральный вред, причиненный субъекту персональных
данных вследствие нарушения его прав, нарушения правил
обработки ПД, а также требований к защите ПД, подлежит
возмещению в соответствии с законодательством РФ.
Возмещение морального вреда осуществляется независимо
от возмещения имущественного вреда и понесенных
субъектом персональных данных убытков.

43. Дисциплинарная ответственность

Статья 81. Расторжение трудового договора по
инициативе работодателя в случаях разглашения
охраняемой законом тайны (государственной,
коммерческой, служебной и иной), ставшей известной
работнику в связи с исполнением им трудовых
обязанностей, в том числе разглашения персональных
данных другого работника
• Глава 14. Защита персональных данных
работника

44.

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
Уполномоченный орган
по защите прав субъектов персональных данных
в Российской Федерации
(Роскомнадзор)

45.

Уполномоченный орган
по защите прав субъектов персональных данных в РФ
Ф
У
Н
К
Ц
И
И
Государственный контроль и надзор
за обработкой персональных данных
Рассмотрение жалоб и обращений
субъектов персональных данных
Ведение реестра операторов

46.

Уполномоченный орган
по защите прав субъектов персональных данных в РФ
Ф
У
Н
К
Ц
И
И
Обращение в суд с исковыми заявлениями в защиту
прав субъектов персональных данных и представление их
интересов в суде
Выработка предложений по совершенствованию нормативного
правового регулирования в области защиты прав субъектов
персональных данных
Международное сотрудничество в области
персональных данных
Направление Отчета о деятельности Уполномоченного органа
Президенту Российской Федерации, в Правительство Российской
Федерации и Федеральное Собрание Российской Федерации

47. Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций г

Административный регламент
исполнения Федеральной службой по
надзору в сфере связи, информационных
технологий и массовых коммуникаций
государственной функции по осуществлению
государственного контроля (надзора) за
соответствием обработки персональных
данных требованиям законодательства
Российской Федерации в области
персональных данных
(утв. Приказом Министерства связи и
массовых коммуникаций в РФ от 14 ноября
2011 г. № 312)

48. Порядок проведения и виды проверок

Плановые проверки - при начале обработки, далее - 1 раз в
3 года.
Внеплановые - по фактам нарушений, а также для контроля
ранее выданного предписания об их устранении.
Проверки могут быть документарными или выездными.
О плановой проверке уведомляют минимум за 3 рабочих дня, о
внеплановой - за сутки.
Если имеется причинение вреда жизни или здоровью граждан,
уведомлять заранее не требуется.
Срок проверки - не более 20 рабочих дней.
По итогам проверки составляется акт.
При выявлении нарушений выдается предписание об их
устранении.
По фактам административных правонарушений оформляется
протокол.
При наличии оснований для возбуждения уголовного дела
материалы передаются в правоохранительные органы.

49.

http://rkn.gov.ru/

50.

51.

ОСНОВНЫЕ ИТОГИ ДЕЯТЕЛЬНОСТИ за 2013 г.
(ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР)
Проведено 2418 проверок в области персональных данных,
из них:
плановые проверки
– 1801
внеплановые проверки
– 617
Результат:
устранено свыше 7 000 нарушений в области персональных данных
выдано 997 предписаний
составлено 4125 протоколов об административных правонарушениях
взыскано штрафов на сумму 6, 4 млн. рублей.

52. Обращения субъектов персональных данных

53.

Результаты рассмотрения обращений
3556 - обращения, по которым
даны разъяснения
положений ФЗ о персональных
данных
в 2013 году в
Уполномоченный
орган поступило
10 016 обращений, из
них:
6153 – жалобы, из них:
16 %
материалы
направлены в
прокуратуру
73 %
факт нарушений
не установлен
9%
операторы в
добровольном
порядке устранили
нарушения

54. Деятельность Роскомнадзора по пресечению незаконного распространения персональных данных граждан в сети Интернет