Процедура его оформления и предоставления в Управление

Уведомление об обработке
(о намерении осуществлять обработку)
персональных данных.
Процедура его оформления и
предоставления в Управление
Роскомнадзора по Республике Саха
(Якутия)
Кириллова Ольга Валентиновна
Заместитель руководителя Управления Роскомнадзора по
Республике Саха (Якутия)
1
Нормативно-правовые документы
 Ст.24 Конституции РФ- запрещает сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия. Органы государственной власти и органы
местного самоуправления, их должностные лица обязаны обеспечить каждому возможность
ознакомления с документами и материалами, непосредственно затрагивающими его права и
свободы;
 ФЗ «О персональных данных» от 27.07.2006г №152-ФЗ;
 ФЗ «Об информации, информационных технологиях и о защите информации» от27.07.2006г
№149-ФЗ
 Глава 14 Трудового кодекса РФ от 30.12.2001 №197-ФЗ;
 ГК РФ (ст.152 защита чести, достоинства и деловой репутации);
 УК РФ (ст.137 нарушение неприкосновенности частной жизни);
 Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных»;
 Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации»;
 Приказ Россвязькомнадзора от 18.02.2009 №42 «О внесении изменений в Приказ
Россвязькомнадзора от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об
обработке персональных данных».
 Административный регламент проведения проверок Федеральной службой по надзору в сфере
связи, информационных технологий и массовых коммуникаций при осуществлении
федерального государственного контроля (надзора) за соответствием обработки персональных
данных требованиям законодательства Российской Федерации в области персональных данных
от 01.12.2009г.
Ч. 1 ст. 22 ФЗ № 152 «О персональных данных».
Уведомление об обработке персональных данных
Оператор до начала обработки
персональных данных обязан уведомить
уполномоченный орган по защите прав
субъектов персональных данных о своем
намерении осуществлять обработку
персональных данных.
Уполномоченным органом на территории
Республики Саха (Якутия) является
Управление Роскомнадзора
3
Уведомление должно содержать
следующие сведения
4
Полное и сокращенное наименование организации по
Уставу либо Положению
под наименованием:
-
юридический и почтовый адреса оператора;
коды классификатора: ИНН; КПП; ЕГРЮЛ; ОГРН; ОКПО; ОКВЭД;
дата государственной регистрации;
форма собственности (государственная, собственность субъекта РФ;
муниципальная, частная);
банковские реквизиты (наименование банка; БИК; номер
расчетного счета);
номер телефона / факса; адрес электронной почты;
Ф.И.О. руководителя.
5
Правовое основание обработки:
 Нормативные правовые акты Российской Федерации (Конституция РФ,
Кодексы, Федеральные законы, постановления Правительства Российской
Федерации, приказы министерств и ведомств, Положения)
(с указанием статей) – относящиеся к непосредственной деятельности
организации;
 Нормативные правовые акты субъекта Российской Федерации (Законы РС(Я),
постановления и распоряжения правительства РС(Я) – относящиеся к
непосредственной деятельности организации;
 Локальные нормативные акты (решения городской Думы, решения Собрания
народных депутатов, распоряжения и постановления главы администрации
муниципального образования, Уставы, Положения, зарегистрированные в
налоговом органе, приказы руководителя по учреждению, наименование
лицензии, номер, дата ее выдачи на осуществляемый вид деятельности с
указанием условий, закрепляющих запрет на передачу персональных данных
третьим лицам без согласия в письменной форме субъекта персональных
данных).
6
Цель обработки персональных данных
В соответствии с учредительными документами (Уставом,
Положением) и фактическими целями,
например:
- Оказание (государственных)
образовательных услуг;
- Осуществление образовательной
деятельности.
7
Категория персональных данных:
 Указываются основные категории персональных данных, например:
Ст. 3 ФЗ № 152. ПЕРСОНАЛЬНЫЕ ДАННЫЕ:
 Фамилия, имя, отчество
 Дата, месяц, год рождения
 Адрес
 Доходы
 Сведения об образовании
 Сведения о профессии
 Социальное положение
 Сведения о семейном положении
 Сведения об имущественном положении
 Другая информация (см.слайд 9)
Ст. 10 ФЗ № 152. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ:
 Расовая принадлежность
 Национальная принадлежность
 Политические взгляды
 Философские убеждения
 Религиозные убеждения
 Сведения о состоянии здоровья
Ст. 11 ФЗ № ФЗ 152. БИОМЕТРИЧЕСКИЕ ДАННЫЕ:
(сведения, которые характеризуют физиологические особенности человека: сведения дактилоскопической
регистрации: отпечатки пальцев, ладони; результаты анализа ДНК; образ лица; сетчатка глаза; особенности
строения тела, отдельных органов и тканей; отклонения в развитии; атавизмы; психическое состояние здоровья)
8
Категории персональных данных, обрабатываемые оператором,
подпадающие под понятие –другая информация :
например:
•
•
•
•
•
Паспортные данные;
Пол;
Гражданство;
Сведения о состоянии воинского учета;
Сведения о родителях (опекунах), о законных
представителях;
• Номер телефона (в том числе сотового);
• Сведения о повышении квалификации; об аттестации и
иные сведения, о наградах и иные.
9
Категории субъектов, персональные
данные которых обрабатываются
• Физические лица:
- работники, состоящие в трудовых
отношениях с оператором;
- обучающиеся (школьники, студенты), их
родители или законные представители и
иное.
10
Обработка вышеуказанных данных будет осуществляться путем
примеры способов обработки:
• Неавтоматизированная обработка персональных данных
(обработка данных при непосредственном участии человека без
использования средств автоматизации)
( см. ч. 1 Глава 1 ПП РФ от 15.09.2008 № 687)
• Автоматизированная обработка (при обработке используются
информационные системы) персональных данных с передачей
полученной информации по сети юридического лица либо с
использованием сети общего пользования Интернет, либо без
передачи полученной информации;
• Смешанная обработка персональных данных (применяются 1, 2
способы одновременно) с передачей полученной информации по
сети юридического лица либо с использованием сети общего
пользования Интернет либо без передачи полученной
информации.
11
Организационные меры по обеспечению
безопасности:
•
•
•
•
•
•
•
•
Определение мест хранения персональных данных (материальных носителей);
Утверждение перечня лиц, осуществляющих обработку персональных данных либо
имеющих к ним доступ, ответственных за реализацию принятых мер по обеспечению
безопасности ПД; учет лиц, имеющих доступ к ПД и лиц, кому данная информация
передается;
Использование антивирусного программного обеспечения (наименование, версия);
Обеспечение конфиденциальности персональных данных (определение перечня
мер, необходимых для обеспечения безопасности персональных данных;
ограничение доступа к ПД путем установления порядка обращения с ПД и
постоянного контроля за его соблюдением;);
Определение способов резервного копирования персональных данных на
материальные носители (электронные: диски, дискеты, флэш-карты; бумажные
носители);
Разработка и утверждение локальных актов (приказов, положений);
Обучение лиц, использующих средства защиты информации, правилам работы с
ними;
Иные меры.
12
Технические меры по обеспечению безопасности:
-
Использование шифровальных (криптографических) средств;
- Классификация информационных систем;
- Размещение информационных систем, специального
оборудования и охрана помещений, в которых ведется работа с
персональными данными;
- Организация режима обеспечения безопасности в этих помещениях
(мероприятия, направленные на предотвращение несанкционированного
доступа к персональным данным);
- Возможность незамедлительного восстановления персональных данных,
модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;
- Проверка готовности средств защиты к использованию с составлением
заключений о возможности их эксплуатации;
- Иные меры.
13
Дата начала обработки персональных
данных
Указывается конкретная дата начала совершения
действий с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение,
использование, обезличивание, блокирование,
уничтожение персональных данных.(например -когда
начала свою деятельность организация)
14
Срок или условие прекращения обработки
персональных данных:
Указывается конкретная дата или основание (условие), наступление
которого повлечет прекращение обработки персональных данных
(см.
Устав
либо
Положение
лицензионные условия)
учреждения/предприятия;
например: Прекращение деятельности
учреждения.
15
Шифрование.
• например:
• Шифрование используется;
• Шифрование не используется.
16
В случае использования оператором, осуществляющим обработку
персональных данных, шифровальных средств указываются следующие
сведения:
• Наименование, изготовитель, серийные номера средств
шифрования;
• Уровень криптографической защиты персональных данных;
• Уровень защиты от утечки по каналам;
• Уровень защиты от несанкционированного доступа.
Предоставление данной информации осуществляется в
соответствии с Методическими рекомендациями,
утвержденными руководством 8 Центра Федеральной службы
безопасности Российской Федерации от 21.02.2008 № 149/5-144.
17
Трансграничная передача персональных
данных
• Трансграничная передача данных –передача персональных данных
оператором через Государственную границу Российской Федерации
органу власти иностранного государства, физическому или
юридическому лицу иностранного государства.
например:
• Трансграничная передача: да / нет.
•
Электронное уведомление: выбор государства
18
Основные требования к оформлению и
предоставлению Уведомления оператором:
 Оформление на фирменном бланке учреждения/предприятия либо с
проставлением углового штампа, с исходящим номером и исходящей
датой;
 Предоставление экземпляра в Управление Роскомнадзора по Республике
Саха (Якутия) любым способом доставки - почта, курьер;
 Уведомление, должно быть направлено в письменной форме, на бланке и
подписано уполномоченным лицом или направлено в электронной форме
и подписано электронной цифровой подписью в соответствии с
законодательством Российской Федерации;
 В случае изменения сведений, оператор обязан уведомить в письменном
виде об изменениях Управление Роскомнадзора по Республике Саха
(Якутия) в течение 10 рабочих дней с даты возникновения таких изменений,
предоставив новое уведомление (ч. 2 ст. 22 ФЗ № 152).
19
В сети «Интернет» по адресу
http://www.pd.ru функционирует портал
персональных данных.
На нем размещена электронная форма
уведомления об обработке персональных
данных для оперативного заполнения с
последующим направлением уведомления
в Управление Роскомнадзора по
Республике Саха (Якутия).
20
21
Реквизиты Управления Роскомнадзора по Республике Саха
(Якутия)
•
•
•
•
•
Местонахождения: г. Якутск, ул. Курашова, д.22;
Почтовый адрес: 670000, г. Якутск, ул. Курашова, 22;
Адрес электронной почты: rsockanc14@rsoc.ru;
Факс: 34-14-28;
Адрес сайта Управления, где можно заполнить
электронную форму Уведомления :http://14.rsoc.ru/
(Электронные формы заявления – заполнить форму
заявления ( о намерении осуществлять обработку)
персональных данных);
• Адрес портала: http://pd.rsoc.ru/ , где также можно
заполнить электронную форму Уведомления.
• Контактный телефон: (4112) 42-40-98
22
БЛАГОДАРИМ ЗА
ВНИМАНИЕ !
23