Post on 17-Jul-2015
Ксения ШудроваЗащита персональных данных
2015
Shudrova.blogspot.ru
Цифры года
• Рост на 200% обращений граждан, 10% доводов подтверждено.
• Поданы исковые заявления в суд на 96 интернет-ресурсов.
• Штрафы: 5 336 804 рублей.
• 1006 плановые и 184 внеплановых проверок – 684 предписания.
Статья 13.11 КоАП
• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
• влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Европейская конвенция
• Федеральный закон от 19.12.2005 N 160-ФЗ
• «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
• Цель Конвенции: обеспечение прав и основных свобод человека, в первую очередь права на неприкосновенность личной сферы.
• «Персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных») -статья 2 Конвенции.
• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – статья ФЗ «О персональных данных».
Определение персональных данных
Персональные данные, проходящие автоматическую обработку:
• должны быть получены и обработаны законно;
• должны накапливаться для точно определенных и законных целей;
• должны быть адекватными не быть избыточными;
• должны быть точными и в случае необходимости обновляться;
• должны храниться не дольше, чем этого требует цель.
Основные требования Конвенции
• Запрещается требовать от гражданина предоставления информации о его частной жизни и получать такую информацию помимо воли гражданина, если иное не предусмотрено законом.
• Порядок доступа к персональным данным граждан устанавливается федеральным законом о персональных данных.
Закон 149-ФЗ
• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Указ Президента РФ
• Принципы и условия обработки персональных данных.
• Права субъекта персональных данных.
• Обязанности оператора.
• Контроль и надзор за обработкой персональных данных.
• Ответственность за нарушения.
ФЗ № 152 «О персональных данных»
• Требования к содержанию письменного согласия определяются Федеральным законом «О персональных данных», отсутствие необходимой информации в форме является нарушением.
• Примеры целей: исполнение договорных отношений с «ХХХ» или осуществление трудовых отношений с «ХХХ».
• Срок действия можно сформулировать следующим образом: «Согласие вступает в силу со дня передачи мною персональных данных в «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».
Форма согласия
Согласие на обработку
По закону в обязанности ЛОЗООПД входит:• осуществление внутреннего контроля за соблюдением
законодательства Российской Федерации о персональных данных;
• доведение до сведения работников положений законодательства Российской Федерации о персональных данных, локальных актов;
• организация приема и обработки обращений и запросов субъектов персональных данных и (или) осуществление контроля за приемом и обработкой таких обращений.
ЛОЗООПД
• Непредоставление уведомления влечет предупреждение или наложение административного штрафа на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
• В новую форму была добавлена графа информации об ответственном за организацию обработки персональных данных лице.
• В случае, если ранее уведомление организацией подавалось, но по старой форме, вносить изменения можно по закону до января 2013 года.
Уведомление об обработке
Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа
Специальные категории персональных данных
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 1 уровень (если более
100000 субъектов)
2 уровень (если менее
100000)
2 уровень (если более 100000 субъектов)
3 уровень (если менее 100000 субъектов)
Биометрические персональные данные
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 2 уровень 3 уровень
Общедоступные персональные данные
-сотрудников 2 уровень 3 уровень 4 уровень
-не сотрудников 2 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
4 уровень
Иные персональные данные (не специальные, не биометрические, не общедоступные)
-сотрудников 1 уровень 3 уровень 4 уровень
-не сотрудников 1 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
3 уровень (если более 100000 субъектов)
4 уровень (если мене 100000 субъектов)
Класс или уровень?
1 уровень 2 уровень 3 уровень 4 уровень
1 класс + + + +
2 класс - + + +
3 класс - - + +
4 класс - - - +
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Четверокнижие
Некоторые из требований – обязательное присутствие следующих документов:
• перечень информационных систем персональных данных;• перечни персональных данных;• перечень должностей;• должностная инструкция ответственного за организацию
обработки персональных данных в государственном или муниципальном органе;
• типовое обязательство служащего государственного или муниципального органа;
• порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
Постановление Правительства 211
Приказ 21 ФСТЭК
• Этап 1. Определение базового набора мер защиты.
• Этап 2. Адаптация базового набора мер.
• Этап 3. Уточнение списка мер.
• Этап 4. Добавление дополнительных мер.
• Этап 5 (необязательный). Выбор компенсирующих мер.
• Должна быть возможность определения места хранения персональных данных и установления перечня лиц,осуществляющих обработку персональных данных либо имеющих к ним доступ.
• Необходимо обеспечивать раздельное хранение персональных данных.
• При хранении материальных носителей должен исключаться несанкционированный доступ.
• Перечень мер защиты, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Неавтоматизированная обработка
• Утверждение приказа о назначении ответственных лиц.• Анализ информационной системы.• Разработка формы согласия на обработку ПДн.• Получение согласия сотрудников и клиентов на обработку ПДн.• Утверждение приказа о создании комиссии по классификации ИСПДн.• Классификация ИСПДн.• Подача уведомления в Роскомнадзор.• Разработка и утверждение моделей угроз безопасности ПДн по
требованиям ФСТЭК и ФСБ.• Разработка и утверждение частного технического задания на систему
защиты.• Работа с подрядчиком по поставке, установке и настройке средств
защиты.• Разработка и утверждение нормативной документации.
Основные этапы работ
1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения.
2. Поступление в Службу или ее территориальные органы информации о следующих фактах:
• Возникновение угрозы причинения вреда жизни, здоровью граждан.• Причинение вреда жизни, здоровью граждан.
3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.
4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
5. Нарушение Операторами требований законодательства в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
Причины проведения внеплановой проверки
• Подача неполных сведений в уведомлении.• Отсутствие документов об ознакомлении работников с
документами работодателя.• Непринятие организационных мер для защиты
персональных данных.• Несоблюдение требований к содержанию письменного
согласия субъекта персональных данных, а также обработка персональных данных без согласия субъекта.
• Осуществление обработки персональных данных близких родственников кандидатов при приеме на работу без их согласия.
• Отсутствие условия договора об обязанности обеспечения конфиденциальности персональных данных при их передаче третьим лицам.
Основные нарушения 1
• Передача персональных данных третьим лицам без получения согласия субъекта.
• Отсутствие перечня лиц, осуществляющих обработку и имеющих доступ к персональным данным.
• Отсутствие сведений о назначении ответственного за организацию обработки персональных данных.
• Отсутствие документов, определяющих политику в отношении обработки персональных данных.
• Отсутствие документа, определяющего оценку вреда, который может быть причинен субъектам персональных данных.
Основные нарушения 2
• Вначале устраняются наиболее часто встречающиеся нарушения.
• При поступлении уведомлении о предстоящей внеплановой проверке, необходимо заранее подготовить помещение, документацию, а также попытаться устранить нарушение.
• Необходимо оперативно готовить новую документацию по требованиям комиссии и вносить изменения в старую.
Памятка по прохождению проверки
Вопросы?
Shudrova.blogspot.rushudrova87@mail.ru