Основы государственного регулирования

1

Кардинальные изменения Закона о персональных данных (ФЗ -261).

Проверки контролирующих органов соблюдения требований по защите персональных данных человека с 1

июля 2011года. Уголовная, административная,

гражданско-правовая ответственность за нарушение

законодательства о персональных данных.

2

Основы государственного регулированияОсновы государственного регулирования Конституция Российской Федерации; Конвенция о защите физических лиц в отношении автоматизированной

обработки данных личного характера от 28.01. 1981 EST № 108 (Федеральный закон РФ от 19.12.2005 года № 160-ФЗ);

Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 25.07.2011 № 261-ФЗ);

Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (14 глава, с изменениями и дополнениями);

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

3

Основы государственного регулированияОсновы государственного регулирования Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О

лицензировании деятельности по технической защите конфиденциальной информации»;

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

Приказ Роскомнадзора от 16.07.2010 № 482 «Об утверждении образца формы уведомления об обработке персональных данных»;

Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»

Другие правовые акты, определяющие особенности обработки персональных данных: Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении

иностранных граждан в РФ» Федеральный закон от 17.07.1999 № 176-ФЗ «О почтовой связи» Федеральный закон от 30.10.2004 № 218-ФЗ «О кредитных историях» Федеральный закон от 27.05.2003 № 58-ФЗ «О системе государственной службы

РФ»

Ответственность за нарушение порядка обработки персональных данных: Уголовный кодекс Российской Федерации Кодекс Российской Федерации об административных правонарушениях

4

Основы государственного регулированияОсновы государственного регулирования"Основные мероприятия по организации и техническому обеспечению безопасности

персональных данных, обрабатываемых в информационных системах персональных данных" от 15.02.2008 года;

"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15.02.2008 года;

"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15.02.2008 года;

"Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15.02.2008 года.

Использование криптосредств для обеспечения безопасности персональных данных должно осуществляться в соответствии с:

Приказом ФСБ России от 09.02.2005 № 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации";

Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 № 149/54-144);

Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от 21.02.2008 № 149/6/6-622).

5

Существующие стандарты и рекомендации по исполнению операторами Федерального закона «О персональных данных»

• стандарты и рекомендации в области стандартизации Банка России - http://www.cbr.ru/credit/Gubzi_docs/;

• концепция защиты персональных данных в информационных системах персональных данных оператора связи - http://minkomsvjaz.ru/3495/8317/8319/8322/;

• методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости - http://www.minzdravsoc.ru/docs/mzsr/informatics/5, http://www.minzdravsoc.ru/docs/mzsr/informatics/4.

С ними можно так же ознакомиться в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»

http://www.cbr.ru/credit/Gubzi_docs/








http://minkomsvjaz.ru/3495/8317/8319/8322/




http://www.minzdravsoc.ru/docs/mzsr/informatics/5











http://www.pd.rsoc.ru/law/p118/

http://www.pd.rsoc.ru/law/p118/

6

Статья 7. Конфиденциальность персональных данныхСтатья 7. Конфиденциальность персональных данных1. Операторами и третьими лицами, получающими доступ к персональным

данным, должна обеспечиваться конфиденциальность таких данных, (за исключением случаев, предусмотренных частью 2 настоящей статьи).

2. Обеспечения конфиденциальности персональных данных не требуется:1) в случае обезличивания персональных данных;2) в отношении общедоступных персональных данных.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания

• Статья 7. Конфиденциальность персональных данных• (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)• Операторы и иные лица, получившие доступ к персональным

данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7

Статья 8. Общедоступные источники персональных данных

• 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

• 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

8

Статья 152.1 ГК РФ. Охрана изображения гражданина

Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда:

• 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;

• 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

• 3) гражданин позировал за плату.

9

Стороны КонвенцииАвстрия Азербайджан Албания Андорра Бельгия Болгария Босния и Герцеговина Великобритания Венгрия Германия (ФРГ) Греция Грузия Дания Ирландия Исландия

Испания Италия Кипр Латвия Литва Лихтенштейн Люксембург Македония Мальта Молдавия Монако Нидерланды Норвегия Польша Португалия

Россия Румыния Сербия Словакия Словения Турция Украина Финляндия Франция Хорватия Черногория Чехия Швейцария Швеция Эстония

10

Постановление Правительства РФ от 17.11.2007 № 781

«Об утверждении Положения

об обеспечении безопасности персональных данных

при их обработке

в информационных системах персональных данных»

Действует с 29.11.2007 г.

11

Требования к обеспечению безопасности ПДн, предъявляемые Постановлением Правительства Российской Федерации

от 17 ноября 2007 № 781 (начало)

– п. 11. При обработке персональных данных в информационной системе должно быть обеспечено:

• а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

• б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

• в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

• г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• д) постоянный контроль за обеспечением уровня защищенности персональных данных.

12

Требования к обеспечению безопасности ПДн, предъявляемые Постановлением Правительства

Российской Федерации от 17 ноября 2007 № 781 (продолжение)

- п. 13 Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

п. 14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

13

Оформление обязательства о неразглашении ПДн работниками, имеющими доступ к этим данным

• Привлечь к ответственности работников, которые разгласили персональные данные, можно, только если они стали известны им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43. Постановления Пленума Верховного Суда РФ от 17.03.2004 №2):

«В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся … к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения».

Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

14

Сроки, предписанные 152-ФЗ• Хранение персональных данных должно осуществляться в форме,

позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. (ч.7 ст.5);

• В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан заблокировать ПДн (ч.1 ст.21), внести в них необходимые изменения и снять блокирование (ч.2 ст.21).

• В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

15

Сроки, предписанные 152-ФЗ (продолжение)

• Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.(ч.3 ст.20)

• Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.(ч.4 ст.20);

• В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.

• В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение (ч.3 ст.21).

16


• В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. (ч. 4 ст.21)

17


• В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. (ч.5 ст.21)

18


В случае отсутствия возможности уничтожения персональных данных в течение:

• десяти рабочих дней с даты выявления неправомерной обработки;

• тридцати дней с даты достижения цели обработки;

• тридцати дней с даты поступления отзыва согласия субъекта,

оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. (ч.6 ст.21)

19

Подача уведомления в РоскомнадзорПодача уведомления в РоскомнадзорФедеральный закон от 27.07.2006 № 152-ФЗ «О

персональных данных», ст. 22:1. Оператор ДО начала обработки персональных данных

обязан уведомить уполномоченный орган (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

(Форма уведомления и порядок заполнения утверждены Приказом Роскомнадзора от 19.08.2011 № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомленияоб обработке (о намерении осуществлять обработку) персональных данных». Приказ Роскомнадзора от 16.07.2010 N 482 частично отменен).

20

21

22

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных

данных обработку персональных данных:

1. обрабатываемых в соответствии с трудовым законодательством;

2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

23



4. сделанных субъектом персональных данных общедоступными;

5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

24



8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

• (п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

Ст.22, п.2 №152-ФЗ

25

Сведения, которые необходимо предоставить в Роскомнадзор

всем операторам• Статья 22:• 5) правовое основание обработки персональных данных;• 7.1) фамилия, имя, отчество физического лица или

наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

• 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

• 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

26

Ответственностьза обработку ПДн без уведомления

Статья 19.7. КоАП РФ Непредставление сведений (информации)

Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде…, -

• влечет предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.

27

Органы, уполномоченные Органы, уполномоченные проводить проверки (начало)проводить проверки (начало)

1. Роскомнадзор:• - проверки по обращению субъекта персональных данных

о соответствии содержания персональных данных и способов их обработки целям их обработки;

• - проверки сведений, содержащихся в уведомлении об обработке персональных данных;

• - внеплановые проверки по контролю нарушений обязательных требований.

(Приказ Роскомнадзора от 01.12.2009 № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»)

28

Роскомнадзор в рамках проводимых проверок Роскомнадзор в рамках проводимых проверок предприятий контролирует выполнение предприятий контролирует выполнение

следующих основных моментовследующих основных моментов1. Правовые основания обработки персональных данных, которыми могут

быть либо согласие субъекта ПДн (т.е. сам гражданин разрешил использование своих персональных данных в определенных целях), либо положения какого-то федерального закона, на основании которых ведется обработка ПДн;

2. Предоставление уведомления об обработке ПДн, в случае если такое уведомление, в соответствии с положениями ФЗ-152, необходимо сделать;

3. Наличие системы защиты ПДн верхнего уровня – положения о защите ПДн, утвержденного перечня сведений, содержащих ПДн, перечня должностных лиц, которые участвуют в их обработке, порядок допуска к обработке и т.п.;

4. Наличие правовых оснований передачи и получения ПДн третьей стороне, если такие имеют место в деятельности предприятия.

• Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 16.05.2011) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»)

29

Органы, уполномоченные проводить проверки Органы, уполномоченные проводить проверки (продолжение)(продолжение)

2. ФСТЭК (Федеральная служба по техническому и экспортному контролю) осуществляет:

- надзор за деятельностью лицензиата ФСТЭК;

- проверки по обращению Роскомнадзора;- внеплановые проверки по контролю нарушений

обязательных требований.

(Регламента нет, Федеральный закон от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля")

30

Органы, уполномоченные проводить проверки Органы, уполномоченные проводить проверки (продолжение)(продолжение)

3. ФСБ осуществляет:

• - контроль за соблюдением правил использования средств криптографической защиты информации;

• - надзор за деятельностью лицензиата ФСБ;

• - внеплановые проверки по контролю нарушений обязательных требований;

• - проверки по обращению Роскомнадзора.

(Регламента нет)

31

Минимальный набор документов, Минимальный набор документов, требуемых при проверке (начало)требуемых при проверке (начало)

Приказы:• О назначении комиссии для проведения обследования ИСПДн;• о создании комиссии по защите персональных данных с наделением

ее полномочиями по проведению мероприятий, касающихся организации защиты персональных данных;

• об утверждении Положения об обработке и защите персональных данных;

• об организации автоматизированной обработки и защиты персональных данных;

• о закреплении компьютеров, предназначенных для обработки ПДН;• об утверждении Плана мероприятий по обеспечению безопасности

информации в учреждении;• о возложении персональной ответственности за защиту персональных

данных;• другие приказы.

32

Минимальный набор документов, требуемых при Минимальный набор документов, требуемых при проверке (продолжение)проверке (продолжение)

Отчеты, акты, перечни• Отчет (акт) о результатах обследования информационной системы

учреждения;• Перечень сведений конфиденциального характера, обрабатываемых в

учреждении;• Модель угроз безопасности персональных данных и иной

конфиденциальной информации в учреждении;• Требования по обеспечению безопасности информации

(персональных данных);• Акт(ы) установки сертифицированных средств защиты информации в

учреждении;• Акт (отчет) по результатам внутренней проверки (внешнего аудита)

выполнения мероприятий по обеспечению безопасности информации;• Акт(ы) об уничтожении персональных данных;• Другие документы.

33

Минимальный набор документов, требуемых при Минимальный набор документов, требуемых при проверке (продолжение)проверке (продолжение)

Положения, инструкции, регламенты• Положение о защите персональных данных;• Положение о подразделении по защите информации в учреждении

(если организовано такое подразделение);• Инструкция пользователю информационной системы по защите

информации;• Должностные инструкции сотрудников, имеющих отношение к

обработке персональных данных;• Положение (инструкция) по организации пропускного режима и

порядке допуска в служебные помещения в учреждении;• Порядок оформления, учета и хранения письменного согласия

работника (клиента) на обработку его персональных данных;• Инструкция по работе с Интернетом в учреждении;• Инструкция по использованию средств антивирусной защиты;• Инструкция по учету, хранению и использованию машинных

носителей данных, содержащих сведения конфиденциального характера.

• Другие инструкции, регламенты.

34

Минимальный набор документов, требуемых Минимальный набор документов, требуемых при проверке (продолжение)при проверке (продолжение)

Журналы, ведомости• Журнал учета мероприятий по обеспечению безопасности

информации в учреждении;• Журнал учета полученных согласий на обработку/отозванных

согласий субъектов;• Журнал учета инструктажа сотрудников учреждения по обеспечению

режима защиты информации;• Журнал(ы) учета сдачи под охрану и вскрытия служебных

помещений, где хранятся ПДн;• Журнал учета записи (копирования) персональных данных на

внешние машинные носители;• Журнал учета печати документов, содержащих персональные данные;• Журнал учета случаев нарушения режима (инцидентов) безопасности

информации в учреждении;• Журнал учета внешних машинных носителей информации;• Другие документы

35

Организация учета и хранения ПДн• Хранение персональных данных должно осуществляться в форме,

позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (п.7. ст.5 №152-ФЗ).

• Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств.

• Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

• В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем.

36

Требования к помещению, где хранятся ПДн

Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные.

Однако исходя из требований ТК РФ во избежание несанкционированного доступа к ПДн работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях.

Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения.

Следует учитывать:• Сроки хранения: Приказ Минкультуры РФ от 25.08.2010 N 558

"Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;

37

Приказ Минкультуры РФ от 25.08.2010 №558

«Об утверждении

«Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных

органов, органов местного самоуправления и организаций, с

указанием сроков хранения»

(Зарегистрировано в Минюсте РФ 08.09.2010 №18380)

Начало действия документа - 01.10.2010.

38

39

Моральный вред• ч.2 ст.17 - Субъект персональных данных имеет право

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке

• ч.2 ст.24 - Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации (ст.ст.151, 1099-1101 ГК РФ).

• Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков;

40

Ст. 13.11.Ст. 13.11. Нарушение установленного законом порядка сбора, Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о хранения, использования или распространения информации о гражданах (персональных данных):гражданах (персональных данных): Нарушение установленного законом порядка сбора, Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в или наложение административного штрафа на граждан в размере размере от 300 до 500 рублейот 300 до 500 рублей; на должностных лиц - ; на должностных лиц - от 500 до от 500 до 1000 рублей1000 рублей; на юридических лиц - ; на юридических лиц - от 5000 до 10000 рублейот 5000 до 10000 рублей..

40

41

Статья 13.12.Статья 13.12. Нарушение правил защиты информации:Нарушение правил защиты информации: 2. Использование несертифицированных информационных 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере административного штрафа на граждан в размере от 500 до от 500 до 10001000 рублей рублей с конфискацией несертифицированных средств с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - защиты информации или без таковой; на должностных лиц - от от 1000 до 20001000 до 2000 рублейрублей; на юридических лиц - ; на юридических лиц - отот 10000 до 2000010000 до 20000 рублей рублей с конфискацией несертифицированных средств защиты с конфискацией несертифицированных средств защиты информации или без таковой.информации или без таковой.

41

42

Статья 13.13.Статья 13.13. Незаконная деятельность в области защиты Незаконная деятельность в области защиты информации:информации: 1. Занятие видами деятельности в области защиты 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей информации (за исключением информации, составляющей государственную тайну) без получения в установленном государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере административного штрафа на граждан в размере от 500 до от 500 до 1000 рублей1000 рублей с конфискацией средств защиты информации или с конфискацией средств защиты информации или без таковой; на должностных лиц – без таковой; на должностных лиц – от 2000 до 3000 рублейот 2000 до 3000 рублей с с конфискацией средств защиты информации или без таковой; на конфискацией средств защиты информации или без таковой; на юридических лиц - юридических лиц - от 10000 до 20000 рублейот 10000 до 20000 рублей с конфискацией с конфискацией средств защиты информации или без таковой.средств защиты информации или без таковой.

42

43

Статья 13.14 КоАП РФ. Разглашение информации с ограниченным доступом

• Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, -

• влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

44

Статья 5.27. Нарушение законодательства о труде и об охране труда

• 1. Нарушение законодательства о труде и об охране труда -

• влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

• 2. Нарушение законодательства о труде и об охране труда должностным лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение, -

• влечет дисквалификацию на срок от 1 года до 3 лет.

45

Статья 5.39 КоАП РФ. Отказ в предоставлении информации

• Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации -

• влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей.

46

Статья 140 УК РФ. Отказ в предоставлении гражданину информации

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.

47

Статья 137 УК РФ. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

48

Федеральный закон от 26.12.2008

N 294-ФЗ"О защите прав юридических лиц и

индивидуальных предпринимателей при осуществлении государственного

контроля (надзора) и муниципального контроля»

В редакции Федерального закона от 18.07.2011 N 242-ФЗ, вступившего в

силу с 1 августа 2011 года

49

Законом предусмотрено два вида проверки - плановая и внеплановая.Плановая проверка проводится с целью установить (ст. 9):- соблюдает ли юридическое лицо обязательные требования и требования, установленные

муниципальными правовыми актами;- соответствуют ли обязательным требованиям сведения, содержащиеся в уведомлении о

начале осуществления отдельных видов предпринимательской деятельности, обязательным требованиям.

Плановая проверка может быть документарной или выездной и проводится не чаще чем один раз в три года.

Однако в отношении юридических лиц, осуществляющих деятельность в области здравоохранения, образования и социальной сфере, плановые проверки могут проводиться два и более раза в три года (ч. 9 ст. 9). Перечень таких видов деятельности утвержден Постановлением Правительства РФ от 23.11.2009 N 944.

О проведении плановой проверки контролирующие органы должны уведомить юридическое лицо не позднее трех рабочих дней до ее начала (ч. 12 ст. 9).

Предметом внеплановой проверки является (ст. 10):- соблюдение юридическим лицом обязательных требований и требований, установленных

муниципальными правовыми актами;- выполнение предписаний органов государственного или муниципального контроля;- проведение мероприятий по предотвращению причинения вреда жизни и здоровью граждан.О проведении внеплановой выездной проверки контролирующие органы должны уведомить

юридическое лицо не менее чем за 24 часа до начала ее проведения любым доступным способом (ч. 16 ст. 10).

Срок проведения каждой из проверок не может превышать 20 рабочих дней (ст. 13) В отношении одного субъекта малого предпринимательства общий срок проведения плановых выездных проверок не может превышать пятьдесят часов для малого предприятия и пятнадцать часов для микропредприятия в год.

Однако в исключительных случаях он может быть продлен, но не более чем на 20 рабочих дней, а в отношении малых предприятий, микропредприятий - не более чем на 15 часов (ч. 3 ст. 13).

50

51

52

53

Основы государственного регулирования

Documents