Изменения законодательства Российской Федерации в сфере персональных данных на 2014 г.Астахов Александр Геннадьевич презентация

на 2014 г. Астахов Александр Геннадьевич

ГК «АСТА-информ»
E-Mail: aag@asta74.ru

персональных данных»

Постановление Правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

3. Постановление Правительства РФ от 06.07.2008г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

4. Постановление Правительства РФ от 15.09.2008г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

5. Постановление Правительства РФ от 21.03.2012г № 211.«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

ГК "АСТА-информ",
(351) 222-45-00, www.asta74.ru

России
от 13.02.2008г. №55/86/20 «Об утверждении порядка
классификации информационных систем персональных данных» отменен с апреля 2014г.

Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Министерства связи и массовых коммуникаций Российской Федерации от 30.01.2010 № 18)

Приказ Роскомнадзора от 19.08.2011г. №706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»

ГК "АСТА-информ",
(351) 222-45-00, www.asta74.ru

надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных ( Приказ Роскомнадзора от 11.11.2011 №312)

«Об утверждении требований и методов обезличивания персональных данных»
(Приказ Роскомнадзора от 05.09.2013 № 996)
«Методические рекомендации по применению Приказа №996» Приказ Роскомнадзора от 13.12.13г.

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК РФ от 15.02.2008)

12. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (Приказ ФСТЭК РФ от 14.02.2008 г.)

13. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

ГК "АСТА-информ",
(351) 222-45-00, www.asta74.ru

экспортному контролю от 11 февраля 2013 г. №17 «Требования о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах»

15. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (Приказ ФСБ РФ от 21.02.2008 №149/54-144)

16. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, не составляющие государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСБ РФ от 21.02.2008 г. № 149/6/6-662

ГК "АСТА-информ",
(351) 222-45-00, www.asta74.ru

субъекту персональных данных
- Политика в области обработки персональных данных
Существенные правки в ст.19 (меры по безопасности персональных данных)
- технические меры в Законе
- уровни защищенности (вместо классов ИСПДн)

ГК "АСТА-информ",
(351) 222-45-00, www.asta74.ru

Приказ Роскомнадзора РФ «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту персональных данных»

Май 2013г.
№ 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”»
Приказ ФСТЭК РФ №21
 
Июнь 2013 г.
Приказ ФСТЭК РФ №17
Гражданский кодекс РФ ст. № 152.2 «Охрана частной жизни человека»

РФ от 30 августа 2013г. О вопросах отнесения фото и видеоизображения к биометрическим персональным данным и особенности их обработки
Приказ Роскомнадзора РФ от 5 сентября 2013г. №996 «Об утверждении требований и методов обезличивания персональных данных». Декабрь 2013г. Методические рекомендации по применению приказа
октябрь 2013 г.
Приказ ФСБ РФ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (проект)
декабрь 2013 г.
Проект Федерального закона О внесении изменений в ФЗ № 152 «О персональных данных»

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

Конвенцию Совета Европы.
Страны Евросоюза. (26 стран)

2. Страны, имеющие общенациональные правовые акты и уполномоченный надзорный орган.
(8 стран)

3. Страны, обеспечивающие адекватную защиту персональных данных.
(19 стран)

Нет США, стран СНГ

Федерации»
● «Об актах гражданского состояния»
● «О негосударственных пенсионных фондах»
● «О государственной дактилоскопической регистрации в Российской Федерации»
● «О государственной социальной помощи»
● «О государственном банке данных о детях, оставшихся без попечения родителей»
● Трудовой кодекс Российской Федерации
● Гражданский процессуальный кодекс Российской Федерации
● «О системе государственной службы Российской Федерации»
● «О связи»
● «О лотереях»
● «О государственной гражданской службе Российской Федерации»
● «О муниципальной службе в Российской Федерации»
● «Об образовании в Российской Федерации».

государственной социальной помощи»

Трудовой кодекс Российской Федерации

Гражданский процессуальный кодекс Российской Федерации

«Об образовании в Российской Федерации»

на передачу его данных иным лицам с целью заключения и исполнения договора.

№ 126-ФЗ «О связи»

весьма неудачной и даже опасной. В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми отношениями и конкретным работником, применение же расширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит.

Трудовой кодекс Российской Федерации

о защите прав, в том числе о возмещении убытков и компенсации морального вреда по месту жительства истца, что также весьма важно, учитывая количество нарушений, приходящихся на область интернет-коммерции, смс-рассылок.

Гражданский процессуальный кодекс Российской Федерации

№ 273-ФЗ «Об образовании в Российской Федерации»

закон исключает из ст.94 п.4 все нормы, предусматривавшие возможность обработки персональных данных в рамках ЕГЭ без согласия участвующих в процессе субъектов.

участников, застрахованных лиц и выгодоприобретателей на обработку персональных данных в объеме, необходимом для исполнения договора.
Фонд вправе поручать обработку ПДн всех этих субъектов организациям, которые, в соответствии с договором, осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы и не обязан получать согласие субъектов ПДн на поручение обработки персональных данных всем этим третьим лицам.

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Приказ ФСТЭК РФ №17
"Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

жизни человека»

Неправомерным распространением полученной с нарушением закона информации о частной жизни гражданина считается, в частности, ее использование при создании произведений науки, литературы и искусства, если такое использование нарушает интересы гражданина.

Если информация о частной жизни гражданина, полученная с нарушением закона, содержится в документах, видеозаписях или на иных материальных носителях, гражданин вправе обратиться в суд с требованием об удалении соответствующей информации, а также о пресечении или запрещении дальнейшего ее распространения путем изъятия и уничтожения без какой бы то ни было компенсации изготовленных в целях введения в гражданский оборот экземпляров материальных носителей, содержащих соответствующую информацию, если без уничтожения таких экземпляров материальных носителей удаление соответствующей информации невозможно.

И МАССОВЫХ КОММУНИКАЦИЙ  (РОСКОМНАДЗОР)

Руководитель Роскомнадзора России заявил,
что в прошлом году подготовлен и передан в Правительство РФ
законопроект, предусматривающий новые составы
административных правонарушений, связанных с
незаконной обработкой персональных данных. В случае
его принятия, размеры штрафных санкций увеличатся с существующих 10 тыс. рублей до максимального размера в 300 тыс. рублей. Полномочия по ведению административных дел от органов прокуратуры будут переданы Роскомнадзору. «Скорейшее принятие законопроекта, на наш взгляд, позволит кардинально изменить ситуацию в области защиты прав субъектов персональных данных и обеспечить соблюдение принципа неотвратимости наказания на нарушения законодательства в этой сфере», - подчеркнул А. Жаров.

об административных правонарушениях

- ФЗ от 27 июля 2006 г. №149 «Об информации, информационных технологиях и защите информации»
- ФЗ от 27 июня 2011 года № 161 «О национальной платежной системе»
- ФЗ от 10 января 2003 года №20 «О Государственной автоматизированной системе «Выборы»

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

обязательной сертификации, …….-
влечет наложение административного штрафа:
на граждан в размере от 1 000 до 2 500 рублей, с конфискацией несертифицированных средств защиты информации;
на должностных лиц в размере от 2 000 до 3 000 рублей;
на юридических лиц - от 20 000 до 25 000 рублей с конфискацией несертифицированных средств защиты информации.


Законопроект от 07.04.2014г о запрете использования для чиновников и руководителей государственных и муниципальных учреждений и предприятий мобильных устройств…….

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru

информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц в размере от 1000 до 2000 рублей; на юридических лиц - от 10 000 до 15 000 рублей.

7. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации (за исключением случаев, если такое действие (бездействие) содержит уголовно наказуемое деяние), -
влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.";

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru

ст.90
В Уголовном кодексе ст.137, ст. 140, ст.272
В КоАП ст. 13.11, ст.19.7

ЧТО БУДЕТ во II пол. 2014 года ???

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

Федерации в области персональных данных

Обработка персональных данных с нарушением требований установленных законодательством Российской Федерации о персональных данных,
ШТРАФ
на граждан в размере от 700 до 2000 рублей;
на должностных лиц – от 3 000 до 8 000 рублей;
на юридических лиц – от 15 000 до 50 000 рублей.

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru

данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законом,
ШТРАФ
на граждан от 3 000 до 5 000 рублей;
на должностных лиц – от 10 000 до 25 000 рублей
на юридических лиц – от 15 000 до 300 000 рублей.

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru

Федерации о персональных данных
ШТРАФ
на граждан 1 000 – 2 000 рублей;
на должностных лиц – от 4 000 до 6 000 рублей;
на юридических лиц – от 20 000 до 40 000 рублей;

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

о персональных данных по обеспечению безопасности персональных данных
Невыполнение оператором обязанностей по соблюдению условий, обеспечивающих сохранность персональных данных материальных носителей и исключающих несанкционированный к ним доступ, в соответствии с законодательством РФ о ПДн, при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении персональных данных
ШТРАФ
на граждан от 700 до 2 000 рублей;
на должностных лиц – от 4 000 до 10 000 рублей;
на юридических лиц – от 25 000 до 50 000 рублей.

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

о персональных данных по обеспечению безопасности персональных данных
Невыполнение оператором обязанностей по принятию необходимых правовых, организационных и технических мер по обеспечению безопасности ПДн при их автоматизированной обработке, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении персональных данных
ШТРАФ
на граждан от 2 000 до 3 000 рублей;
на должностных лиц – от 10 000 до 15 000 рублей;
на юридических лиц – от 100 000 до 200 000 рублей.

ГК "АСТА-информ", (351) 222-45-00, www.asta74.ru

персональных данных»

Обработчик – лицо, осуществляющее обработку персональных данных по поручению оператора.
«Оператор вправе поручить обработку ПДн обработчику с согласия субъекта…»
Договор, заключенный между оператором и субъектом ПДн, означает, в том числе согласие субъекта ПДн на поручение оператором обработки ПДн обработчику в целях исполнения договора.
Конфиденциальность не требуется в отношении общедоступных и обезличенных ПДн
Согласие в электронной форме (дистанционно)
Биометрические персональные данные. Поправлено определение

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru

персональных данных»

Уведомление Роскомнадзора об инцидентах с ПДн.

Операторы не начнут защищать персональные данные, а РКН не сможет защищать субъекта ПДн, если не будет в ФЗ №152 нормы о привлечения к ответственности за инциденты с ПДн.

Операторы обязаны уведомлять РКН о факте неправомерного раскрытия персональных данных неопределенному кругу лиц.

ГК"АСТА-информ", (351) 222-45-00, www.asta74.ru