Слайд 1Правовое регулирование
в сфере персональных данных
Лекция 6
Слайд 2 Международные соглашения
Конвенция о защите физических лиц в отношении
автоматизированной обработки данных личного характера от 28 января 1981 г. EST № 108
Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»
Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе
Слайд 3 Целью Федерального закона является обеспечение защиты прав
и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну
Федеральный закон
от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»
Слайд 4
Регулирование отношений, связанных с обработкой ПД, осуществляемой с использованием средств автоматизации,
в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Сфера действия федерального закона
«О персональных данных»
Слайд 5 Действие ФЗ «О персональных данных»
не распространяется на отношения, возникающие при:
обработке
ПД физическими лицами для личных и семейных нужд, если при этом не нарушаются права субъектов ПД;
организации хранения, комплектования, учета и использования содержащих ПД документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;
обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну;
предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с ФЗ от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Слайд 6Персональные данные - любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных)
Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
Общедоступные персональные данные – сведения, доступ к которым открыт субъектом персональных данных или на основании закона
Понятие и виды персональных данных
Слайд 7Обработка персональных данных
Обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
сбор,
запись,
систематизацию,
накопление,
хранение,
уточнение (обновление, изменение),
извлечение,
использование,
передачу (распространение, предоставление, доступ),
обезличивание,
блокирование,
удаление,
уничтожение персональных данных
Слайд 8Обработка ПД должна осуществляться на законной и справедливой основе.
Обработка ПД
должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
Принципы обработки персональных данных
Слайд 9При обработке должны быть обеспечены точность ПД, их достаточность, а в
необходимых случаях и актуальность по отношению к целям обработки ПД.
Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Принципы обработки персональных данных
Слайд 10Обработка персональных данных
Положение об обработке персональных данных
В Положении следует определить:
- цели
и способы обработки ПД;
- категории, типы обрабатываемых ПД;
- категории субъектов, ПД которых обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- условия прекращения обработки ПД;
- порядок получения доступа к ПД;
- условия раскрытия и объем ПД, доступных партнерам и
третьим лицам;
- перечень лиц, ответственных за рассмотрение жалоб и
запросов.
Слайд 11Обработка персональных данных допускается в следующих случаях:
с согласия субъекта ПД;
обработка ПД
установлена международным договором РФ или законом;
обработка ПД необходима для осуществления правосудия, исполнения судебного акта;
обработка ПД необходима для предоставления государственной или муниципальной, регистрации субъекта ПД на едином портале государственных и муниципальных услуг;
обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
Условия обработки персональных данных
Слайд 12Обработка персональных данных допускается в следующих случаях:
обработка ПД необходима для осуществления
прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей;
обработка ПД необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности;
обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД;
обработка ПД, сделанных общедоступными субъектом ПД либо по его просьбе;
осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Условия обработки персональных данных
Слайд 13Оператор вправе поручить обработку ПД другому лицу :
с согласия субъекта ПД,
если иное не предусмотрено федеральным законом,
на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта,
путем принятия государственным или муниципальным органом соответствующего акта.
Условия обработки персональных данных третьими лицами
Слайд 14В поручении оператора должны быть определены:
перечень действий (операций) с персональными данными,
цели
обработки,
обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке
требования к защите обрабатываемых ПД.
Лицо, осуществляющее обработку ПД по поручению оператора, не обязано получать согласие субъекта ПД.
Ответственность перед субъектом ПД за действия указанного лица несет оператор.
Лицо, осуществляющее обработку ПД по поручению оператора, несет ответственность перед оператором.
Условия обработки персональных данных третьими лицами
Слайд 15Согласие субъекта ПД на обработку его персональных данных
Субъект ПД дает согласие
на обработку свободно, своей волей и в своем интересе
Согласие на обработку ПД должно быть конкретным
Согласие на обработку ПД может быть:
дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом;
отозвано субъектом ПД. В случае отзыва оператор вправе продолжить обработку ПД без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе.
Согласие в письменной форме:
на бумажном носителе с собственноручной подписью
субъекта ПД;
электронный документ, подписанный в соответствии с
законодательством РФ электронной подписью.
Слайд 16
Согласие в письменной форме должно включать:
1) ФИО, адрес субъекта ПД, реквизиты
основного документа, удостоверяющего его личность;
2) ФИО, адрес представителя субъекта ПД, реквизиты основного документа, удостоверяющего его личность, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
3) наименование или ФИО и адрес оператора;
4) цель обработки ПД;
5) перечень ПД, на обработку которых дается согласие;
6) наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта ПД.
Согласие субъекта ПД на обработку его персональных данных
Слайд 17Основные субъекты правоотношений в области персональных данных
Субъект персональных данных - физическое
лицо, к которое прямо или косвенно определяется по персональным данным
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Уполномоченный орган по защите прав субъектов персональных данных
Слайд 18Права субъекта персональных данных
принимать решение о предоставлении своих ПД и
давать согласие на их обработку
отзывать согласие на обработку ПД
иметь доступ к своим ПД
получать сведения об операторе
требовать от оператора уточнения своих ПД
получать информацию, касающуюся характера и способов обработки его ПД
обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке
право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке
Слайд 19Ограничение права субъекта персональных данных
Право субъекта персональных данных на
доступ к своим персональным данным ограничивается в случае, если:
1) обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Слайд 20 Обязанности оператора по уведомлению
До начала обработки ПД обязан уведомить уполномоченный
орган по защите прав субъектов персональных данных о намерении осуществлять обработку ПД, прекратить обработку или изменить порядок обработки
Слайд 21Виды операторов,
внесенных в Реестр
общеобразовательные школы
дошкольные учреждения
учреждения здравоохранения и социального обеспечения
учреждения
ЖКХ (ТСЖ)
средние и высшие учебные заведения профессионального образования
кредитные учреждения
туроператоры
коллекторские агентства
В настоящее время в реестре содержатся данные о 321 916 операторах персональных данных (по состоянию на 12.04.2015)
Слайд 22 Обязанности оператора по уведомлению
Оператор вправе осуществлять без уведомления обработку персональных
данных:
обрабатываемых в соответствии с трудовым законодательством;
полученных оператором в связи с заключением договора, стороной которого является субъект ПД;
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией;
сделанных субъектом персональных данных общедоступными;
включающих в себя только ФИО субъектов ПД;
необходимых в целях однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы ПД, имеющие статус ГАС;
8) обрабатываемых без использования средств автоматизации.
Слайд 23http://pd.rkn.gov.ru/operators-registry/notification/form/
Информация из реестра операторов
Слайд 24 Обязанности оператора при сборе ПД
предоставить субъекту ПД по его просьбе
информацию об его ПД;
разъяснить субъекту ПД юридические последствия отказа предоставить ПД, если это предусмотрено законодательством РФ;
если ПД получены не от субъекта ПД, оператор, до начала обработки предоставить субъекту ПД следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки ПД и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта ПД;
5) источник получения ПД.
Слайд 25 Меры, направленных на обеспечение выполнения оператором обязанностей
Оператор самостоятельно определяет состав
и перечень указанных мер, если иное не предусмотрено законодательством РФ.
К таким мерам могут относиться:
1) назначение ответственного за организацию обработки ПД;
2) издание документов и локальных актов по вопросам обработки ПД;
3) применение правовых, организационных и технических мер по обеспечению безопасности ПД;
4) осуществление контроля соответствия обработки ПД требованиям законодательства РФ и локальных актов оператора;
5) оценка вреда, который может быть причинен субъектам ПД в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей;
6) ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных и локальными актами оператора в отношении персональных данных.
Слайд 26ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 1 ноября 2012 г. N 1119
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К
ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Слайд 27Уровни защищенности персональных данных
Угрозы 1-го типа: связанные с наличием недокументированных (недекларированных)
возможностей в системном программном обеспечении.
Угрозы 2-го типа: связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа: все остальные
Слайд 31
БАЗОВАЯ МОДЕЛЬ
УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ,
утверждена
Заместителем директора ФСТЭК России
15 февраля 2008 г.
Слайд 33Описание угроз несанкционированного доступа к ПД
Слайд 34 Оператор обязан применять средства защиты, прошедшие в установленном порядке процедуру оценки
соответствия, то есть имеющие сертификат соответствия.
Ответственность оператора за использование несертифицированных средств защиты (п. 2 ст. 13.12 КоАП):
штраф
для юридических лиц – конфискация несертифицированных средств защиты.
Перечень сертифицированных средств защиты – www.fstec.ru
Слайд 35Криптографические средства защиты информации
Положение о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный № 6382);
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, № 149/6/6-622, 2008);
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144
Слайд 36 Обязанности оператора в случае нарушения законодательства
по запросу субъекта ПД либо
уполномоченного органа по защите прав субъектов ПД оператор обязан осуществить блокирование неправомерно обрабатываемых ПД,
в случае выявления неточных ПД: блокировать, уточнить неточные ПД в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПД.
в случае выявления неправомерной обработки ПД:
в срок, не превышающий 3 рабочих дней, прекратить неправомерную обработку ПД
если обеспечить правомерность обработки ПД невозможно, в срок, не превышающий 10 рабочих дней уничтожить такие ПД
уведомить субъекта ПД о принятых мерах.
Слайд 37 Обязанности оператора в случае нарушения законодательства
При достижении цели обработки ПД
прекратить обработку ПД и уничтожить ПД в срок, не превышающий 30 дней
В случае отзыва субъектом согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором.
В случае отсутствия возможности уничтожения персональных данных в течение 30 дней, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
Слайд 38Уголовная ответственность
за нарушение требований ФЗ «О персональных данных»
ст. 137 УК
РФ – незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении;
ст. 140 УК РФ – неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации;
ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Слайд 39ст. 5.39 КоАП РФ – отказ в предоставлении гражданину документов и
материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо предоставление гражданину неполной или заведомо недостоверной информации;
ст. 13.11 КоАП РФ – нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных;
ст. 13.12 КоАП РФ - нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации ;
- использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации;
ст. 13.14 КоАП РФ – разглашение информации, доступ к которой ограничен федеральным законом;
ст. 19.7 КоАП РФ – непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.
Административная ответственность
за нарушение требований ФЗ «О персональных данных»
Слайд 40Проект предусматривает:
1) повышение штрафов
Штраф за нарушение порядка обработки ПД увеличится
для граждан с 300-500 руб. до 3000-5000 руб.;
для должностных лиц — с 500-1000 руб. до 30 000-50 000 руб;
для юридических лиц — с 5000-10 000 руб. до 200 000-500 000 руб.;
вводится штраф для индивидуальных предпринимателей — в размере 30 000-50 000 руб.
Впервые устанавливается наказание для лиц, ранее подвергнутых штрафу за аналогичное правонарушение:
наложение штрафа для граждан в размере 5000 руб;
для должностных лиц — в размере 50 000 руб или дисквалификация на срок до 1 года; для индивидуальных предпринимателей — в размере 50 000 руб.;
для юридических лиц — в размере от 500 000 до 1 000 000 руб.
Проект проекта федерального закона "О внесении изменений в КоАП РФ"
Разработчик - Минкомсвязь России
Слайд 412) увеличение срока давности привлечения к ответственности за нарушение законодательства о
защите персональных данных до 1 года со дня совершения правонарушения;
3) передача полномочий по возбуждению дел об административных правонарушениях по статье 13.11 КоАП "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" от органов прокуратуры должностным лицам Роскомнадзора. На них возлагаются полномочия по рассмотрению дел данной категории, или их передача на рассмотрение судье.
Проект проекта федерального закона "О внесении изменений в КоАП РФ"
Разработчик - Минкомсвязь России
Слайд 42Субъект ПД в судебном порядке может требовать также возмещения убытков и
(или) компенсации морального вреда
Убытки - расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права (реальный ущерб), а также неполученные доходы, которые это лицо получило бы, если бы его право не было нарушено (упущенная выгода).
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки ПД, а также требований к защите ПД, подлежит возмещению в соответствии с законодательством РФ.
Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Гражданско-правовая ответственность
Слайд 43Дисциплинарная ответственность
Статья 81. Расторжение трудового договора по инициативе работодателя в
случаях разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника
Глава 14. Защита персональных данных работника
Слайд 44ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
Уполномоченный
орган
по защите прав субъектов персональных данных
в Российской Федерации
(Роскомнадзор)
Слайд 45
Государственный контроль и надзор
за обработкой персональных
данных
Рассмотрение жалоб и обращений
субъектов персональных данных
Ведение реестра операторов
Уполномоченный орган
по защите прав субъектов персональных данных в РФ
ФУНКЦИИ
Слайд 46
Обращение в суд с исковыми заявлениями в защиту
прав субъектов
персональных данных и представление их интересов в суде
Выработка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных
Международное сотрудничество в области
персональных данных
Направление Отчета о деятельности Уполномоченного органа Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации
Уполномоченный орган
по защите прав субъектов персональных данных в РФ
ФУНКЦИИ
Слайд 47Административный регламент
исполнения Федеральной службой по надзору в сфере связи, информационных технологий
и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
(утв. Приказом Министерства связи и массовых коммуникаций в РФ от 14 ноября 2011 г. № 312)
Слайд 48Порядок проведения и виды проверок
Плановые проверки - при начале обработки, далее
- 1 раз в 3 года.
Внеплановые - по фактам нарушений, а также для контроля ранее выданного предписания об их устранении.
Проверки могут быть документарными или выездными.
О плановой проверке уведомляют минимум за 3 рабочих дня, о внеплановой - за сутки.
Если имеется причинение вреда жизни или здоровью граждан, уведомлять заранее не требуется.
Срок проверки - не более 20 рабочих дней.
По итогам проверки составляется акт.
При выявлении нарушений выдается предписание об их устранении.
По фактам административных правонарушений оформляется протокол.
При наличии оснований для возбуждения уголовного дела материалы передаются в правоохранительные органы.
Слайд 51ОСНОВНЫЕ ИТОГИ ДЕЯТЕЛЬНОСТИ за 2013 г.
(ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР)
Проведено 2418 проверок
в области персональных данных, из них:
плановые проверки – 1801
внеплановые проверки – 617
Результат:
устранено свыше 7 000 нарушений в области персональных данных
выдано 997 предписаний
составлено 4125 протоколов об административных правонарушениях
взыскано штрафов на сумму 6, 4 млн. рублей.
Слайд 52Обращения субъектов персональных данных
Слайд 53
3556 - обращения, по которым даны разъяснения
положений ФЗ о
персональных данных
6153 – жалобы, из них:
73 %
факт нарушений
не установлен
16 %
материалы направлены в прокуратуру
9 %
операторы в добровольном порядке устранили нарушения
в 2013 году в
Уполномоченный орган поступило
10 016 обращений, из них:
Результаты рассмотрения обращений
Слайд 54Деятельность Роскомнадзора по пресечению незаконного распространения персональных данных граждан в сети
Интернет