Добавить в коллекции Добавить в сохраненное
  1. Без категории

Требования закона «О персональных данных»: разумная реализация «Функциональная безопасность бизнеса»

реклама 
Требования закона
«О персональных данных»:
разумная реализация
«Функциональная безопасность бизнеса»
Надежда Александровская
Заместитель генерального директора
ИНФОФОРУМ-12
Москва, 28-29 января 2010 г.
Истоки
1. Конвенция о защите физических лиц в отношении
автоматизированной обработки данных личного
характера от 28.01. 1981 EST № 108
2. Федеральный закон от 19.12. 2005 года «О
ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке
данных»
3. Федеральный закон от 27.07.2006 года № 152-ФЗ «О
персональных данных»
4. Положение об обеспечении безопасности
персональных данных при их обработке в
информационных системах персональных данных,
утвержденное постановлением Правительства
Российской Федерации от 17.11.2007 г. № 781
5. Положение об особенностях обработки
персональных данных, осуществляемых без
использования средств автоматизации,
утвержденное постановлением Правительства
Российской Федерации от 15.09.2008г. № 687
6. Требования к материальным носителям биометрических
персональных данных и технологиям хранения таких
данных вне информационных систем персональных
данных, утвержденные постановлением Правительства
Российской Федерации от 06.08.2008г. № 512
7. Порядок проведения классификации информационных
систем персональных данных, утвержденный приказом
ФСТЭК, ФСБ, Мининформсвязи России от 13.02. 2008 №
55/86/20
8. Приказ Россвязькомнадзора от 17.07.2008г. № 8 Об
утверждении образца формы уведомления об обработке
персональных данных
4
Права субъектов ПД
Обязанности оператора
Перед государственным органом
Направить уведомление об
обработке персональных данных
Перед субъектом ПД
1. Предоставить субъекту требуемую
информацию
2. Устранить нарушения законодательства,
допущенные при обработке ПД, а также по
уточнению, блокированию и уничтожению ПД
При обработке ПД, принимать необходимые
организационные и технические меры для защиты ПД
Государственный надзор и контроль за
обработкой ПД
Система государственного
надзора и контроля
Территориальные Управления
Россвязькомнадзора
Уполномоченные органы
ФСБ России
Уполномоченные органы
ФСТЭК России
п. 1, ст. 21
Выявление
недостоверных ПД
Подтверждение факта
недостоверности ПД
Неправомерные
действия с ПД
Незамедлительно осуществить
блокирование ПД с момента обращения
(запроса) СПД или уполномоченного органа
по защите прав СПД.
п. 2, ст. 21 Уточнить персональные
данные и снять их блокирование
п. 3, ст. 21 в срок, не превышающий 3х
рабочих дней с даты такого выявления,
обязан устранить допущенные нарушения
п. 3, ст. 21
В случае невозможности устранения допущенных нарушений оператор в срок,
не превышающий трёх рабочих дней с даты выявления неправомерности
действий с ПД, обязан
уничтожить персональные данные.
7
1. Предписание, основание: п.3 ст. 9 ФЗ от14.07.2001 № 134
ФЗ «О защите прав юридических лиц и индивидуальных
предпринимателей при проведении государственного контроля
(надзора)»
2. Направлять заявление в орган, осуществляющий
лицензирование деятельности оператора, для рассмотрения
вопроса о принятии мер по приостановлению действий или
аннулированию соответствующей лицензии, основание: п.п. 6 ст.
23 гл. 5 ФЗ от 27.07.2006 № 152 «О персональных данных»
3. Направлять в органы прокуратуры, другие
правоохранительные органы материалы для решения вопроса о
возбуждении уголовных дел по признакам преступлений,
связанных с нарушением прав субъектов ПД основание: п.п. 7 ст.
23 гл. 5 ФЗ от 27.07.2006 № 152 «О персональных данных»
УК РФ ст. 137 части 1 и 2, ст. 140, ст. 272 части 1 и 2
Привлечение к административной ответственности:
основание: ст. 5.39, 13.11, 13.14 КоАП РФ (все через суд)
1. Статья 5.39 Кодекса Российской Федерации об
правонарушениях административных правонарушениях.
Неправомерный отказ в предоставлении гражданину собранных
в установленном порядке документов, материалов,
непосредственно затрагивающих права и свободы гражданина,
либо несвоевременное предоставление таких документов и
материалов, не предоставление иной информации в случаях,
предусмотренных законом, либо предоставление гражданину
неполной или заведомо недостоверной информации Наложение административного штрафа на должностных лиц в
размере от пятисот до одной тысячи рублей
9
Привлечение к административной ответственности: основание:
ст. 5.39, 13.11, 13.14 КоАП РФ
Статьи 13.11 Кодекса Российской Федерации об
административных
правонарушениях.
Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах
(персональных данных) Предупреждение или наложение административного штрафа на
граждан в размере от трехсот до пятисот рублей; на должностных
лиц - от пятисот до одной тысячи рублей; на юридических лиц - от
пяти тысяч до десяти тысяч рублей.
10
Обязанности по защите прав субъекта ПД
либо в течение
десяти рабочих
Сообщить СПД или его законному при обращении
дней с даты
представителю информацию о
получения запроса
субъекта ПД
наличии ПД, относящихся к
или его п. 1, ст. 20 субъекта ПД или
соответствующему субъекту ПД, законного
его законного
представителя
представителя.
Предоставить возможность
ознакомления с ПД
в срок, не
В случае отказа в предоставлении субъекту ПД
п. 2, ст. 20 превышающий
информации о наличии ПД о соответствующем субъекте
семи рабочих
ПД, оператор обязан дать в письменной форме
дней со дня
мотивированный ответ содержащий ссылку на
положение части 5 статьи 14 настоящего ФЗ
обращения
субъекта ПД
11
Права Федеральной службы и ее территориальных органов
1. Запрашивать у физических или юридических лиц информацию, необходимую для
реализации своих полномочий
2. Осуществлять проверку сведений, содержащихся в уведомлениях об обработке
персональных данных, или привлекать для осуществления такой проверки иные
государственные органы в пределах их полномочий
3. Требовать от оператора блокирования или уничтожения недостоверных или
полученных незаконным путем персональных данных
4. Принимать в установленном законодательством Российской Федерации порядке
меры по приостановлению или прекращению обработки персональных данных,
осуществляемой с нарушением требований ФЗ «О персональных данных»
5. Обращаться в суд с исковым заявлением в защиту прав субъектов персональных
данных и представлять интересы субъекта персональных данных в суде
Права Федеральной службы и ее территориальных органов
6. Направлять заявление в орган, осуществляющий лицензирование деятельности
оператора, для рассмотрения вопроса о принятие мер по приостановлению
действия или аннулирования соответствующей лицензии
7. Направлять в органы прокуратуры, другие правоохранительные органы
материалы для решения вопроса о возбуждении уголовных дел по признакам
преступлений, связанных с нарушением прав субъектов персональных данных
8. Вносить через Минкомсвязи России в Правительство Российской Федерации
предложения о совершенствовании нормативного правового регулирования
защиты прав субъектов персональных данных
10. Привлекать к административной ответственности лиц, виновных в нарушении ФЗ
«О персональных данных»
13
Типы проверяемых организаций по обработке ПД
1. Оператор, обрабатывающий персональные данные, т.е.
занесенный в реестр операторов
2. Государственный, муниципальный орган, юридическое
или физическое лицо оператор не занесенный в реестр, но
обрабатывающий ПД
3. Государственный, муниципальный орган, юридическое или
физическое лицо оператор, обрабатывающий ПД, но не
требующий занесения в реестр
14
Обязанности при сборе ПД
п.1, ст. 18
Предоставить СПД по
его просьбе
информацию
п. 2 ст. 18.
РАЗЪЯСНИТЬ
Субъекту ПД
До начала обработки
ПРЕДОСТАВИТЬ для
СПД п.3,
ст. 18.
подтверждение факта обработки ПД
применяемые способы обработки ПД, перечень
обрабатываемых ПД, источник их получения;
сведения о лицах, которые имеют доступ к ПД
сроки обработки ПД, в том числе сроки их хранения
юридические последствия отказа предоставить свои
персональные данные
Даннные об операторе
Цель обработки ПД и её правовое основание
Предполагаемые пользователи ПД
Установленные настоящим ФЗ права СПД
15
Затраты на реализацию
по 1 и 2 категории
Ст./ 1 раб. место
Подача уведомления и регистрация ПДн 1 мес.
Лицензирование деятельности по технической защите
конфиденциальной информации 3-5 мес.
Классификация ПДн 1-3 мес.
Разработка частной модели угроз 4-8 мес.
Сертификация средств защиты информации 3-6 мес.
Аттестация ИСПДн (для системы 1-2 классов) 2-6 мес.
180000
120000
60000
ИЧП (1-2 р.м.)
МБ ()
Ср.Б
Кр.ПР.
Спасибо за внимание!
www.funcbs.ru
Похожие документы
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
Заявление о согласии на обработку персональных данных
Заявление о согласии на обработку персональных данных
Заявление потребителя по взысканию неустойки по договору
Заявление потребителя по взысканию неустойки по договору
Защита персональных данных в органах государственной
Защита персональных данных в органах государственной
Приложение 3 к объявлению о проведении конкурса Заявление
Приложение 3 к объявлению о проведении конкурса Заявление
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
Ф.И.О., должность, наименование организации
Ф.И.О., должность, наименование организации
Информационная безопасность школы
Информационная безопасность школы
Скачать
реклама