Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Изменения в фз 152

473 views

Published on

  • Be the first to comment

  • Be the first to like this

Изменения в фз 152

  1. 1. Выполнение закона В ФЗ №152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
  2. 2. Принципы обработки персональных данных: 1) законность целей и способов обработки персональных данных и добросовестность; 2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Нормативные правовые акты Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
  3. 3. ИЗМЕНЕНИЯ В ФЗ №152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Статья 1 •Внести в часть 3 статьи 25 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 52, ст. 6439) изменение, изложив ее в следующей редакции: •«3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.». Статья 2 Настоящий Федеральный закон вступает в силу с 1 января 2011 года.
  4. 4. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах: 5 (правовое основание обработки персональных данных), 7.1 (фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты), 10 (сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки) 11 (сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации) части 3 статьи 22 настоящего Федерального закона. Глава 6. Заключительные положения. 5
  5. 5. СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
  6. 6. СОСТАВЛЕНИЕ И НАПРАВЛЕНИЕ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЯ
  7. 7. Контроль и надзор за выполнением требований по защите ПДн Федеральная служба безопасности (ФСБ) • курирует вопросы защиты ПДн с помощью шифровальных (криптографических) средств Федеральная служба по техническому и экспортному контролю (ФСТЭК) • курирует вопросы, связанные с технической защитой ПДн, за исключением криптографической защиты. Федеральная служба по надзору в сфере связи, массовых коммуникаций (Роскомнадзор) • надзор за соблюдением требований, установленных федеральным законом «О персональных данных» №152 (ФЗ-152): порядок сбора, обработки, уничтожения ПДн • защита прав субъектов ПДн в суде (Под технической защитой конфиденциальной информации понимается комплекс мероприятий по ее защите от несанкционированного доступа (НСД), в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней). Адрес: 664011, г.Иркутск, ул.Халтурина, 7 (а/я 169) Телефон: (3952) 25-50-93, факс: (3952) 34-19-91 Официальный сайт: http://www.fsb.ru Адрес: 630091, г. Новосибирск, Красный проспект, д. 41. Телефон: (383) 203-54-01 Официальный сайт: http://www.fstec.ru Адрес: 644003 г.Иркутск, ул.Литвинова, д.13 Телефон: (3952) 341-636 Официальный сайт: http://38.rsoc.ru 8
  8. 8. Контроль и надзор за выполнением требований по защите ПДн Указанные органы могут проводить документарные и выездные плановые и внеплановые проверки. Важно учитывать, что проверки могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении не включенных в реестр операторов, но фактически осуществляющих обработку ПДн. Перед проверкой надзорный орган уведомляет организацию о предстоящей процедуре. В случае плановой проверки – не позднее, чем за 3 рабочих дня до дня начала проверки, в случае внеплановой – не позднее 24-х часов до начала проверки. 9
  9. 9. Контроль и надзор за выполнением требований по защите ПДн Предметом документарной проверки являются следующие документы: уведомление об обработке ПДн документы, необходимые для проверки фактов, (содержащих признаки нарушения законодательства РФ в области ПДн) изложенных в обращениях граждан и информации, поступившей в надзорный орган документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области ПДн согласие субъекта ПДн на обработку его персональных данных локальные акты оператора, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических ПДн локальные акты оператора, подтверждающие уничтожение ПДн по достижении цели их обработки локальные акты оператора, регламентирующие порядок и условия обработки ПДн 10
  10. 10. Контроль и надзор за выполнением требований по защите ПДн В первую очередь проверяются документы организации, имеющиеся в распоряжении надзорного органа. Если во время проверки возникает необходимость в иных документах, то надзорный орган вправе запросить в письменном виде у организации соответствующие документы. К мотивированному запросу обязательно прилагается заверенная печатью копия распоряжения или приказа руководителя надзорного органа, на основании которого проводится проверка. В течение десяти рабочих дней со дня получения запроса организация обязана направить в надзорный орган запрашиваемые документы. Документы (копии) должны быть заверены печатью организации. 11
  11. 11. Контроль и надзор за выполнением требований по защите ПДн Надзорный орган не вправе требовать: нотариально заверенные копии документов документы, не относящиеся к предмету документарной проверки сведения и документы, которые могут быть получены этим органом от иных органов государственного контроля (надзора), органов муниципального контроля. 12
  12. 12. Контроль и надзор за выполнением требований по защите ПДн Выездная проверка является формой документарной проверки, которая проводится сотрудниками надзорного органа по месту нахождения организации. Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении надзорного органа. Оператор обязан предоставить должностным лицам надзорного органа возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющим в здания, строения, сооружения, помещения и к оборудованию, используемому оператором для обработки ПДн. Должностные лица надзорного органа не вправе изымать оригиналы документов. 13
  13. 13. Контроль и надзор за выполнением требований по защите ПДн Внеплановые проверки проводятся: Роскомнадзором в случае: получения обращений, жалоб (как от субъектов ПДн, так и организаций, государственных и муниципальных органов) или информации из СМИ о возникновении угрозы здоровью или жизни граждан, а также о непосредственном причинении вреда здоровью или жизни граждан нарушения законных прав и интересов субъектов ПДн при обработке оператором ПДн получения от Правительства РФ или Президента РФ соответствующих поручений истечения срока исполнения оператором предписания об устранении нарушений, выявленных во время предыдущих проверок ФСТЭК России и ФСБ России по обращению Роскомнадзора. 14
  14. 14. Контроль и надзор за выполнением требований по защите ПДн Плановые проверки проводятся на основании плана проверок на текущий год, с которым можно ознакомиться по следующему адресу: http://www.rsoc.ru/plan-and-reports/contolplan Основанием включения оператора в годовой план является начало оператором обработки ПДн. Плановые проверки проводятся не чаще чем один раз в три года. ФСТЭК России и ФСБ России также осуществляют контрольно-надзорные функции за лицензиатами (организациями, имеющими лицензии соответственно ФСТЭК России и ФСБ России, и оказывающие услуги по технической защите информации). Реестр лицензиатов ФСТЭК находится по следующему адресу: http://www.fstec.ru/_doc/reestr_tzki/_reestr_tzki.xls; 15
  15. 15. Результаты операции «Всеобуч» 41% 80% 96% 30% 30% 65% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Уведомление в Россвязькомнадзор Положение об обработке ПД Согласие субъекта на обработку его ПД Локальные акты оператора, подтверждающие соблюдение требований Локальные акты оператора, регламентирующие порядок и условия обработки ПДн Школьные нормативные документы
  16. 16. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ДЛЯ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ИРКУТСКОЙ ОБЛАСТИ 17
  17. 17. Сборник состоит из четырех частей: •В первой части методических рекомендаций (разделы 1-4) содержатся общие сведения о применяемых в документах понятиях, законодательстве и способах организации системы защиты. •Во второй части методических рекомендаций (разделы 5-7) подробно рассматриваются информационные системы персональных данных в учреждениях и способы приведения их в соответствие законодательству. •Третья часть методических рекомендаций (разделы 8-14) посвящена подробным рекомендациям по механизмам защиты, необходимой документации, рекомендациям при работе с бумажными носителями и способами понижения требований к защите персональных данных. •Заключительная четвертая часть методических рекомендаций (разделы 15-19) содержит дополнительные рекомендации для отдельных ситуаций и ответы на часто задаваемые вопросы. Так же сборник включает в себя: •Акты классификации •Методика составления ЧМУ •Комплект форм учета •Набор типовых бланков •Типовые проекты приказов, инструкций, положений. 18
  18. 18. Спасибо за внимание!

×