Уведомление об обработке (о намерении осуществлять обработку) персональных данных. Процедура его оформления и предоставления в Управление Роскомнадзора по Республике Саха (Якутия) Кириллова Ольга Валентиновна Заместитель руководителя Управления Роскомнадзора по Республике Саха (Якутия) 1 Нормативно-правовые документы Ст.24 Конституции РФ- запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы; ФЗ «О персональных данных» от 27.07.2006г №152-ФЗ; ФЗ «Об информации, информационных технологиях и о защите информации» от27.07.2006г №149-ФЗ Глава 14 Трудового кодекса РФ от 30.12.2001 №197-ФЗ; ГК РФ (ст.152 защита чести, достоинства и деловой репутации); УК РФ (ст.137 нарушение неприкосновенности частной жизни); Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Приказ Россвязькомнадзора от 18.02.2009 №42 «О внесении изменений в Приказ Россвязькомнадзора от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об обработке персональных данных». Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от 01.12.2009г. Ч. 1 ст. 22 ФЗ № 152 «О персональных данных». Уведомление об обработке персональных данных Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уполномоченным органом на территории Республики Саха (Якутия) является Управление Роскомнадзора 3 Уведомление должно содержать следующие сведения 4 Полное и сокращенное наименование организации по Уставу либо Положению под наименованием: - юридический и почтовый адреса оператора; коды классификатора: ИНН; КПП; ЕГРЮЛ; ОГРН; ОКПО; ОКВЭД; дата государственной регистрации; форма собственности (государственная, собственность субъекта РФ; муниципальная, частная); банковские реквизиты (наименование банка; БИК; номер расчетного счета); номер телефона / факса; адрес электронной почты; Ф.И.О. руководителя. 5 Правовое основание обработки: Нормативные правовые акты Российской Федерации (Конституция РФ, Кодексы, Федеральные законы, постановления Правительства Российской Федерации, приказы министерств и ведомств, Положения) (с указанием статей) – относящиеся к непосредственной деятельности организации; Нормативные правовые акты субъекта Российской Федерации (Законы РС(Я), постановления и распоряжения правительства РС(Я) – относящиеся к непосредственной деятельности организации; Локальные нормативные акты (решения городской Думы, решения Собрания народных депутатов, распоряжения и постановления главы администрации муниципального образования, Уставы, Положения, зарегистрированные в налоговом органе, приказы руководителя по учреждению, наименование лицензии, номер, дата ее выдачи на осуществляемый вид деятельности с указанием условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных). 6 Цель обработки персональных данных В соответствии с учредительными документами (Уставом, Положением) и фактическими целями, например: - Оказание (государственных) образовательных услуг; - Осуществление образовательной деятельности. 7 Категория персональных данных: Указываются основные категории персональных данных, например: Ст. 3 ФЗ № 152. ПЕРСОНАЛЬНЫЕ ДАННЫЕ: Фамилия, имя, отчество Дата, месяц, год рождения Адрес Доходы Сведения об образовании Сведения о профессии Социальное положение Сведения о семейном положении Сведения об имущественном положении Другая информация (см.слайд 9) Ст. 10 ФЗ № 152. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ: Расовая принадлежность Национальная принадлежность Политические взгляды Философские убеждения Религиозные убеждения Сведения о состоянии здоровья Ст. 11 ФЗ № ФЗ 152. БИОМЕТРИЧЕСКИЕ ДАННЫЕ: (сведения, которые характеризуют физиологические особенности человека: сведения дактилоскопической регистрации: отпечатки пальцев, ладони; результаты анализа ДНК; образ лица; сетчатка глаза; особенности строения тела, отдельных органов и тканей; отклонения в развитии; атавизмы; психическое состояние здоровья) 8 Категории персональных данных, обрабатываемые оператором, подпадающие под понятие –другая информация : например: • • • • • Паспортные данные; Пол; Гражданство; Сведения о состоянии воинского учета; Сведения о родителях (опекунах), о законных представителях; • Номер телефона (в том числе сотового); • Сведения о повышении квалификации; об аттестации и иные сведения, о наградах и иные. 9 Категории субъектов, персональные данные которых обрабатываются • Физические лица: - работники, состоящие в трудовых отношениях с оператором; - обучающиеся (школьники, студенты), их родители или законные представители и иное. 10 Обработка вышеуказанных данных будет осуществляться путем примеры способов обработки: • Неавтоматизированная обработка персональных данных (обработка данных при непосредственном участии человека без использования средств автоматизации) ( см. ч. 1 Глава 1 ПП РФ от 15.09.2008 № 687) • Автоматизированная обработка (при обработке используются информационные системы) персональных данных с передачей полученной информации по сети юридического лица либо с использованием сети общего пользования Интернет, либо без передачи полученной информации; • Смешанная обработка персональных данных (применяются 1, 2 способы одновременно) с передачей полученной информации по сети юридического лица либо с использованием сети общего пользования Интернет либо без передачи полученной информации. 11 Организационные меры по обеспечению безопасности: • • • • • • • • Определение мест хранения персональных данных (материальных носителей); Утверждение перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, ответственных за реализацию принятых мер по обеспечению безопасности ПД; учет лиц, имеющих доступ к ПД и лиц, кому данная информация передается; Использование антивирусного программного обеспечения (наименование, версия); Обеспечение конфиденциальности персональных данных (определение перечня мер, необходимых для обеспечения безопасности персональных данных; ограничение доступа к ПД путем установления порядка обращения с ПД и постоянного контроля за его соблюдением;); Определение способов резервного копирования персональных данных на материальные носители (электронные: диски, дискеты, флэш-карты; бумажные носители); Разработка и утверждение локальных актов (приказов, положений); Обучение лиц, использующих средства защиты информации, правилам работы с ними; Иные меры. 12 Технические меры по обеспечению безопасности: - Использование шифровальных (криптографических) средств; - Классификация информационных систем; - Размещение информационных систем, специального оборудования и охрана помещений, в которых ведется работа с персональными данными; - Организация режима обеспечения безопасности в этих помещениях (мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным); - Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - Проверка готовности средств защиты к использованию с составлением заключений о возможности их эксплуатации; - Иные меры. 13 Дата начала обработки персональных данных Указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, обезличивание, блокирование, уничтожение персональных данных.(например -когда начала свою деятельность организация) 14 Срок или условие прекращения обработки персональных данных: Указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных (см. Устав либо Положение лицензионные условия) учреждения/предприятия; например: Прекращение деятельности учреждения. 15 Шифрование. • например: • Шифрование используется; • Шифрование не используется. 16 В случае использования оператором, осуществляющим обработку персональных данных, шифровальных средств указываются следующие сведения: • Наименование, изготовитель, серийные номера средств шифрования; • Уровень криптографической защиты персональных данных; • Уровень защиты от утечки по каналам; • Уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями, утвержденными руководством 8 Центра Федеральной службы безопасности Российской Федерации от 21.02.2008 № 149/5-144. 17 Трансграничная передача персональных данных • Трансграничная передача данных –передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. например: • Трансграничная передача: да / нет. • Электронное уведомление: выбор государства 18 Основные требования к оформлению и предоставлению Уведомления оператором: Оформление на фирменном бланке учреждения/предприятия либо с проставлением углового штампа, с исходящим номером и исходящей датой; Предоставление экземпляра в Управление Роскомнадзора по Республике Саха (Якутия) любым способом доставки - почта, курьер; Уведомление, должно быть направлено в письменной форме, на бланке и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации; В случае изменения сведений, оператор обязан уведомить в письменном виде об изменениях Управление Роскомнадзора по Республике Саха (Якутия) в течение 10 рабочих дней с даты возникновения таких изменений, предоставив новое уведомление (ч. 2 ст. 22 ФЗ № 152). 19 В сети «Интернет» по адресу http://www.pd.ru функционирует портал персональных данных. На нем размещена электронная форма уведомления об обработке персональных данных для оперативного заполнения с последующим направлением уведомления в Управление Роскомнадзора по Республике Саха (Якутия). 20 21 Реквизиты Управления Роскомнадзора по Республике Саха (Якутия) • • • • • Местонахождения: г. Якутск, ул. Курашова, д.22; Почтовый адрес: 670000, г. Якутск, ул. Курашова, 22; Адрес электронной почты: rsockanc14@rsoc.ru; Факс: 34-14-28; Адрес сайта Управления, где можно заполнить электронную форму Уведомления :http://14.rsoc.ru/ (Электронные формы заявления – заполнить форму заявления ( о намерении осуществлять обработку) персональных данных); • Адрес портала: http://pd.rsoc.ru/ , где также можно заполнить электронную форму Уведомления. • Контактный телефон: (4112) 42-40-98 22 БЛАГОДАРИМ ЗА ВНИМАНИЕ ! 23