Защита персональных данных
1
Законодательство Российской Федерации и нормативные документы органов исполнительной власти
• Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
• Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней защищенности»
2
Сколько стоят персональные данные??!!
•~ 10 000 $ для жителей США (в год)
•~ 1000 $ для жителей РФ (в год)
•Социальные сети торгуют персональными данными
3
Основные определения и требования
Ст. 3 Федерального закона РФ «О персональных данных»
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
сбор
•запись
•систематизацию
•накопление
•хранение,
•уточнение (обновление, изменение),
•извлечение,
•использование,
•передачу (распространение, предоставление, доступ),
•обезличивание,
•блокирование,
•удаление, уничтожение
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Ст. 5 Федерального закона РФ «О персональных данных»
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки
Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат
4
Основные определения и требования
Ст. 6 Федерального закона РФ «О персональных данных»
Обработка персональных данных допускается в следующих случаях:
•с согласия субъекта персональных данных,
•для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в связи с участием лица в судопроизводстве,
•для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве,
•для исполнения функций по предоставлению и муниципальных услуг,
•для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем,
•для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно,
•для осуществления прав и законных интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных,
•для осуществления профессиональной деятельности журналиста, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных,
•осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных),
•осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом
Ст. 9 Федерального закона РФ «О персональных данных»
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
1)В случаях, предусмотренных законодательством РФ, обработка персональных данных осуществляется без согласия. При этом оператор обязан не нарушать права и законные интересы субъекта персональных данных.
2)В случаях, предусмотренных только ЛНА, обработка осуществляется только при наличии согласия.
3)При отсутствии требований в законодательстве или ЛНА, обработка запрещается даже при
наличии согласия. |
5 |
|
Основные определения и требования
Ст. 3 Федерального закона РФ «О персональных данных»
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке действия (операции), совершаемые с персональными данными
Ст. 7 Федерального закона РФ «О персональных данных»
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
6
Сбор персональных данных
Источник сбора персональных данных – субъект персональных данных (физическое лицо)
Согласие на обработку персональных данных
•Согласие субъект дает Организации, а не подразделению или филиалу Организации
•Согласие берет подразделение, осуществляющее сбор персональных данных
•Согласие хранится в подразделении, которое его получило
•Ответственность за наличие согласия несет руководитель подразделения (специалист), осуществляющего сбор персональных данных
Ст. 9 Федерального закона РФ «О персональных данных»
•Если обработка персональных данных в соответствии с законодательством осуществляется только с согласия в письменной форме субъекта персональных данных, то оно должно включать в себя:
•Наименование и адрес оператора;
•Цель обработки;
•Перечень персональных данных;
•Перечень действий с персональными;
•Срок действия согласия и способ его отзыва;
•Подпись субъекта персональных данных.
Согласие является документом, |
!!! |
содержащим персональные данные |
7
Форма согласия на обработку персональных данных
Основные определения и требования
Ст. 10 Федерального закона РФ «О персональных данных»
В статье 10 говорится, что обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается. Исключение составляют угрозы здоровью субъекту персональных данных, обработка персональных данных в медико- профилактических целях и в правоохранительных целях и др. при соблюдении определенных условий.
Ст. 14 Федерального закона РФ «О персональных данных»
В статье 14 говорится о праве субъекта персональных данных на доступ к своим персональным данным (на основании 24 статьи Конституции РФ).
Ст. 19 Федерального закона РФ «О персональных данных»
В статье 19 говорится о мерах по обеспечению безопасности персональных данных при их |
|
обработке. В частности, что оператор при обработке персональных данных обязан принимать |
|
необходимые организационные и технические меры, для защиты персональных данных от |
|
неправомерного или случайного доступа к ним, уничтожения, изменения, а также от иных |
|
неправомерных действий. |
9 |
|
Ст. 22 Федерального закона РФ «О персональных данных»
В статье 22 говорится об уведомлении об обработке персональных данных, что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1)относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2)полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3)относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4)являющихся общедоступными персональными данными;
5)включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6)необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7)включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8)обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
10