1 / 14

О РЕАЛИЗАЦИИ ФЕДЕРАЛЬНОГО ЗАКОНА от 27.07.2006 года № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

О РЕАЛИЗАЦИИ ФЕДЕРАЛЬНОГО ЗАКОНА от 27.07.2006 года № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ». Начальник отдела контроля и надзора в сфере массовых коммуникаций, защиты прав субъектов персональных данных Управления Роскомнадзора по Томской области Ефименко Николай Валериевич.

blaze-burris
Télécharger la présentation

О РЕАЛИЗАЦИИ ФЕДЕРАЛЬНОГО ЗАКОНА от 27.07.2006 года № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. О РЕАЛИЗАЦИИ ФЕДЕРАЛЬНОГО ЗАКОНА от 27.07.2006 года № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Начальник отдела контроля и надзора в сфере массовых коммуникаций, защиты прав субъектов персональных данных Управления Роскомнадзора по Томской области Ефименко Николай Валериевич

  2. Персональные данные –любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

  3. Обработка ПД – любые действия с ПД граждан, включая сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, использование, распространение, передачу, обезличивание, блокирование, уничтожение ПД

  4. Оператор ПД – любое юр. либо физ. лицо, гос. или муниципальный орган, организующие или осуществляющие обработку ПД

  5. Уполномоченный орган Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Управление Роскомнадзора по Томской области Адрес – г. Томск, ул Енисейская 23/1 Сайт 70.rsoc.ru

  6. Разграничение полномочий по контролю и надзору • ФСТЭК - безопасность ПД при их обработке в ИС ПД, построение и функционирование ИС ПД, требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем • ФСБ - защита ПД с использованием шифровальных (криптографических) средств отнесены к полномочиям ФСБ • Роскомнадзор - организация работы с ПД и соблюдение прав субъектов ПД

  7. Перечень основных НПА • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации» • Федеральный закон от 13.06.1996 № 63-ФЗ «Уголовный кодекс РФ» (ст. 137) • Кодекс РФ об административных правонарушениях (ст. 5.39; ст. 13.11; ст. 13.14; ст. 19.7.1; ст. 19.7.2) • Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ - Глава 14 «Защита ПД работника» • Указ Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о ПД государственного гражданского служащего РФ и ведении его личного дела» • Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» • Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена» • Распоряжение Президента РФ от 10.07.2001 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных» • Постановление Правительства РФ от 17.11.2007 №781 «Об обеспечении безопасности ПД при их обработке в информационных системах персональных данных» • Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем персональных данных» • Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

  8. Перечень основных НПА • Постановление Правительства РФ от 03.11.1994 № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» • Постановление Правительства РФ от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» • Распоряжение Правительства РФ от 15.08.2007 № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации ФЗ «О ПД» • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации ИС ПД» • Приказ Роскомнадзора от 17.07.2008 №8 «Об утверждении формы Уведомления об обработке (о намерении осуществлять обработку) ПД и Рекомендаций по его заполнению» • Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)» • Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». • Методические рекомендации по обеспечению с помощью криптосредств безопасности ПД при их обработке в ИС ПД с использованием средств автоматизации, утв ФСБ России 21.02.2008 (№ 149/54-144) • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПД при их обработке в ИС ПД, утв ФСБ России 21.02.2008 (№ 149/6/6-622)

  9. Нормативно-методические документы ФСТЭК России в области персональных данных, утвержденные заместителем директора ФСТЭК России 15.02.2008 • Базовая модель угроз безопасности ПД при их обработке в ИС ПД • Методика определения актуальных угроз безопасности ПД при их обработке в ИС ПД

  10. Общий порядок действий оператора ПД • Назначить в организации структурное подразделение или должностное лицо, ответственное за соблюдение обязательных требований в сфере обработки ПД • Провести инвентаризацию информационных систем организации (как действующих, так и планируемых к вводу в эксплуатацию), иных электронных документов, а также картотек, каталогов, досье, личных дел, списков и прочих материальных носителей, содержащих ПД граждан • Определить состав обрабатываемых ПД (перечень категорий ПД, имеющихся в организации, а также перечень категорий субъектов ПД (граждан), ПД которых имеются в организации). • Определить цели обработки персональных данных в организации и правовые основания для их обработки, а также условия их обработки. • Определить перечень действий с ПД, выполняемых при их обработке, а также способов обработки. • Определить необходимость уведомления уполномоченного органа об обработке ПД. • Проверить соответствие обработки ПД в организации требованиям законодательства о ПД, достаточность принятых в организации организационных и технических мер по защите ПД. Подготовить соответствующий отчет. • На основании результатов проведенной работы определить Перечень необходимых организационных и технических мер, которые должны быть приняты в организации, составить План мероприятий по обеспечению выполнения в организации требований в сфере обработки ПД, предусмотрев в них в том числе: -определение сроков хранения персональных данных; - получение в необходимых случаях согласия субъектов ПД на обработку их ПД, в том числе в письменной форме; - уничтожение персональных данных, имеющихся в организации без правовых оснований (не соответствующих законным целям и полномочиям организации); - необходимость направления в Роскомнадзор Уведомления об обработке ПД; - разработку и реализацию системы защиты ПД.

  11. Уведомление об обработке ПД Руководителю Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Томской области Ю.И. Хаустову УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных _____________________________________________________________________________________________________________ (наименование (фамилия, имя, отчество), адрес оператора) руководствуясь _______________________________________________________________________________________________ (правовое основание обработки персональных данных) с целью _____________________________________________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: _____________________________________________________________________________________ (категории персональных данных) принадлежащих: _____________________________________________________________________________________________ (категории субъектов, персональные данные которых обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем _____________________________________________________________________________________________________________ (Перечень действий с ПД, общее описание используемых оператором способов обработки ПД) _____________________________________________________________________________________________________________ (Описание мер, которые оператор обязуется осуществлять при обработке ПД, по обеспечению безопасности ПД при их обработке) Дата начала обработки персональных данных: ________________________________________________________________ Срок или условие прекращения обработки персональных данных: ____________________________________________ __________________ ___________________ ____________________________ (должность) (подпись) (расшифровка подписи) «___» ____________ 200__ г.

  12. Роли Роскомнадзора • 1. Осуществление функций по государственному контролю и надзору в сфере ПД • 2. Защита прав субъектов ПД • 3. Осуществление иных функций уполномоченного органа по защите прав субъектов ПД

  13. Основные нарушения • Обработка ПД без уведомления уполномоченного органа. • Несоответствие сведений, указанных в уведомлении, фактической деятельности. • Непредоставление сведений по запросам субъектов ПД. • Непредоставление либо несвоевременное предоставление сведений по запросу уполномоченного органа по защите прав субъектов ПД. • Обработка персональных данных граждан без их согласия (в т.ч. распространение). • Непринятие необходимых организационных и технических мер для защиты ПД. • Несоответствие объема, характера и способов обработки ПД целям обработки. • Хранение ПД дольше, чем этого требуют цели их обработки. • Несоблюдение конфиденциальности ПД. • Неуведомление субъектов ПД об обработке их ПД в случаях, если ПД получены не от субъекта ПД. • Незаконная обработка ПД специальных категорий ПД и биометрических ПД.

  14. БЛАГОДАРЮ ЗА ВНИМАНИЕ

More Related