SlideShare a Scribd company logo

20090929_Personal data

S
sbur

Выступление на научно-практической конференции по проблемам медико-социальной экспертизы в Уральском федеральном округе (29-30 сентября 2009 г.)

Presentations & Public Speaking
1 of 21
Download to read offline
Подходы к организации работы с персональными данными в учреждениях медико-социальной экспертизы Ханты-Мансийск, 29.09.2009 Сергей Бурылин, ЗАО «АРМАДА СОФТ»
Истоки проблемы Персональные данные 1 «Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108)» 2 Цель настоящей Конвенции состоит в обеспечении на территории каждой Стороны для каждого физического лица независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его данных личного характера (защита данных). 3 2 Страсбург, 28.01.1981, Совет Европы Конституция РФ, ст.23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Федеральный закон от 19.12. 2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Страсбург, 07.11.2001 Российская Федерация подписала Конвенцию
152-ФЗ «О персональных данных»: основные понятия (ст.3) Федеральный закон от 27.07.2006 №152-ФЗ персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация 3 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
152-ФЗ «О персональных данных»: ключевые даты Федеральный закон от 27.07.2006 №152-ФЗ 26.01.2007 – Закон вступил в силу (180 дней после официального опубликования) 4 До 01.01.2008 – Операторы, осуществляющие обработку персональных данных обязаны направить уведомление в уполномоченный орган по защите прав субъектов персональных данных Не позднее 01.01.2010 – Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона По состоянию на 28.09.2009 в реестре операторов, осуществляющих обработку персональных данных (http://pd.rsoc.ru/), зарегистрированы только 12 ФГУ ГБ МСЭ !!!
Регуляторы в сфере персональных данных Кто является регуляторами? 5 (Постановление Правительства Российской Федерации от 02.06.2008 № 419) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Федеральная служба безопасности (ФСБ России) Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь РФ) http://www.rsoc.ru/
С чего начать? Организация работы с персональными данными ШАГ №1 – Подача уведомления об обработке персональных данных 6 ШАГ №2 – разработка внутренней нормативной документации (локальные акты Оператора), регламентирующей деятельность сотрудников по работе с персональными данными внутри учреждения (организации). ШАГ №0 – Идентификация всех видов персональных данных, обработка которых ведется в учреждении МСЭ ШАГ №3 – Проведение организационных и технических мероприятий по организации работы с персональными данными Основные виды персональных данных в учреждении МСЭ: Персональные данные освидетельствуемых лиц Персональные данные работников учреждения Персональные данные, получаемые при обработке обращений граждан
Уведомление об обработке персональных данных Подготовка уведомления 7 Руководителю Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Иркутской области В.Ф. Миронову Халтурина, д. 7 г. Иркутск, 664011 1. Оформляется на бланке Оператора УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных _____________________________________________________________________________ (наименование (фамилия, имя, отчество), адрес оператора) руководствуясь _____________________________________________________________________________ (правовое основание обработки персональных данных) с целью _____________________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: ________________________________________________________________________ (категории персональных данных) _____________________________________________________________________________ принадлежащих: _____________________________________________________________________________ (категории субъектов, персональные данные которых _____________________________________________________________________________ обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем _____________________________________________________________________________ (Перечень действий с персональными данными, общее описание используемых оператором _____________________________________________________________________________ способов обработки персональных данных) 2. На имя руководителя территориального органа Роскомнадзора 3. Текст Уведомления заполняется по форме, утвержденной Приказом Россвязькомнадзора от 17.07.2008 №08 «Об утверждении образца формы уведомления об обработке персональных данных»
Уведомление об обработке персональных данных. Рекомендации по заполнению Тип оператора Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 Явных указаний не содержит Возможные варианты заполнения: • Физическое лицо • Юридическое лицо • Государственный орган Возможные ошибки: В ряде случаев в Реестр операторов учреждение МСЭ попадает как «Юридическое лицо», что не совсем корректно 8
Наименование (Ф.И.О), адрес оператора Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 4.3. Для государственных, муниципальных органов (операторов): • полное и сокращенное наименование государственного, муниципального органа; • местонахождение (в соответствии с учредительными документами и свидетельством о постановке юридического лица на учёт в налоговом органе, контактная информация); • индивидуальный номер налогоплательщика (ИНН). При указании наименования (фамилии, имени, отчества), адреса оператора, а также направления деятельности рекомендуется использовать ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Рекомендации по заполнению: • Указать коды главного бюро по максимальному количеству классификаторов • Здесь же перечислить одним списком сведения обо всех филиалах (наименование филиала и адрес местонахождения) • Все адреса приводить с почтовыми индексами Уведомление об обработке персональных данных. Рекомендации по заполнению 9
Правовое основание обработки персональных данных 8. В поле «правовое основание обработки персональных данных» указываются: - Федеральный закон, постановление Правительства Российской Федерации, иной нормативно- правовой акт, закрепляющий основание и порядок обработки персональных данных. - Номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Рекомендации по заполнению: • Указать нормативные документы, которые устанавливают необходимость и порядок обработки персональных данных: • Федеральные законы (181-ФЗ, 152-ФЗ, трудовой кодекс и т.д), • актуальные на данный момент Постановления/Распоряжения Правительства РФ, • приказы Минздравсоцразвития, ФМБА России, • Устав и локальные акты МСЭ. • Желательно указывать ссылки на конкретные статьи перечисленных выше нормативных документов Возможные ошибки: Следует избегать упоминания утративших силу нормативно-правовых актов, например, таких как Распоряжение Правительства РФ от 16.12.2004 №1646, ссылка на Устав, утвержденный Росздравом и т.д. Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 Уведомление об обработке персональных данных. Рекомендации по заполнению 10
Цель обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 5. В поле «цель обработки персональных данных» указываются цели обработки персональных данных (а также их соответствие полномочиям оператора). Примечание. Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных. Рекомендации по заполнению: • Можно напрямую процитировать формулировки из соответствующих нормативных актов, например: • В части проведения медико-социальной экспертизы - из ПП №805 и №95; • По кадровым вопросам – из гл.14 ТК РФ; • По вопросам обработки обращений граждан – из Федерального закона от 02.05.2006 N 59-ФЗ. Уведомление об обработке персональных данных. Рекомендации по заполнению 11
Категории персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 6. В поле «категории персональных данных» указываются одна или несколько категорий персональных данных, подлежащих обработке: 6.1. Персональные данные (любая информация, относящаяся к определённому или определяемому на основе такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте). 6.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни). 6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность). Рекомендации по заполнению: • Желательно привести как можно более полное перечисление всех категорий персональных данных, которые реально обрабатываются в учреждении • При этом для каждой категории персональных данных при необходимости нужно уметь дать объяснение, с какой целью эти данные собираются и каковы основания для их сбора Уведомление об обработке персональных данных. Рекомендации по заполнению 12
Категории субъектов, персональные данные которых обрабатываются Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 7. В поле «категории субъектов, персональные данные которых обрабатываются» указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заёмщик, вкладчик, страхователь, заказчик и др.), субъекты, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др. Рекомендации по заполнению: • Следует перечислить все категории субъектов, персональные данные которых обрабатываются в учреждении МСЭ, например: • лица, обратившиеся для прохождения медико-социальной экспертизы и(или) их законные представители; • граждане, подавшие в бюро МСЭ обращения, подлежащие обязательной регистрации; • сотрудники учреждения (в рамках трудовых отношений). Возможные ошибки: • Примеры не самых удачных формулировок: «инвалиды всех групп», «инвалиды и пострадавшие на производстве» • Не стоит забывать про трудовые отношения с собственными сотрудниками Уведомление об обработке персональных данных. Рекомендации по заполнению 13
Перечень действий с персональными данными Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 9. В поле «перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных», указываются действия, совершаемые оператором с персональными данными (например: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение), а также описание используемых оператором способов обработки персональных данных (например: неавтоматизированная обработка персональных данных; или исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; или смешанная обработка персональных данных). Примечание. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации). Рекомендации по заполнению: • Чаще всего, в учреждении МСЭ совершается практически все перечисленные действия над персональными данными, при этом способы обработки могут быть разными для разных категорий ПДн. Возможно, будет уместно явно указать, какие данные обрабатываются без использования средств автоматизации, а какие - только в автоматизированном режиме и т.д. • Стоит проконсультироваться в территориальном органе Роскомнадзора, нужно ли явно указывать названия программных продуктов, используемых при автоматизированной обработке персональных данных Уведомление об обработке персональных данных. Рекомендации по заполнению 14
Описание мер, которые оператор обязуется осуществлять […] Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 10. В поле «описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке», указываются: а) класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/8б/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»); б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения: а) наименование, регистрационные номера и производители используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок; г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/5-144. Уведомление об обработке персональных данных. Рекомендации по заполнению 15
Дата начала обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 11. В поле «дата начала обработки персональных данных» указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (указывается фактическая дата начала обработки персональных данных). Рекомендации по заполнению: • Ключевое слово – «фактическая» дата. При этом явно не указано, что имеется ввиду только автоматизированная обработка Возможные ошибки: • Иногда дата начала обработки персональных данных указывается такой же, что и дата подачи уведомления об обработке персональных данных. Это, как правило, неверно Уведомление об обработке персональных данных. Рекомендации по заполнению 16
Срок или условие прекращения обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 11. В поле «срок или условие прекращения обработки персональных данных» указывается конкретная дата или основание (условие), наступление которого повлечёт прекращение обработки персональных данных. Рекомендации по заполнению: • Как правило, явно установить дату прекращения обработки персональных данных затруднительно. Поэтому разумным вариантом является указание именно условия прекращения такой обработки. Например: «внесение изменений в учредительные документы, изменение правовых оснований обработки, ликвидация или приостановка деятельности учреждения». Возможные ошибки: • Пример не самой удачной формулировки: «По указанию Федерального агентства по здравоохранению и социальному развитию» Уведомление об обработке персональных данных. Рекомендации по заполнению 17
Рекомендуемый порядок подачи уведомления Рекомендуемый порядок работы при подготовке и подаче уведомления 1 Сайт территориального органа Роскомнадзора → Раздел по работе с персональными данными. Узнать: Ф.И.О. руководителя, контактные данные ответственных специалистов. Скачать: бланк уведомления, рекомендации по заполнению. 2 Заполнение уведомления, договориться по телефону со специалистом Роскомнадзора о возможности согласования текста подготовленного уведомления по электронной почте и проведение такого согласования 3 Печать согласованного текста уведомления, его подписание и направление в территориальный орган Роскомнадзора официальным письмом (на бланке, с исх. номером и т.п.) http://www.rsoc.ru/ → http://86.rsoc.ru/ 18
Как происходит включение в Реестр Операторов Включение в реестр операторов, осуществляющих обработку персональных данных 1 … в течение 30 дней с даты поступления Уведомления принимается решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр. 3 2 3 30 дней 3 дня Согласно «Положения о ведении реестра операторов, осуществляющих обработку персональных данных»: 2 1 Дата поступления уведомления в территориальный орган Роскомнадзора Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети Интернет не позднее 3 (трех) дней с даты подписания приказа http://pd.rsoc.ru/ Регистрационный номер 19
Внесение изменений после включения в Реестр Операторов Внесение изменений после включения в реестр операторов, осуществляющих обработку ПДн 1 … Оператор обязан уведомить об изменениях Службу в течение 10 (десяти) рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре 2 10 дней Согласно «Положения о ведении реестра операторов, осуществляющих обработку персональных данных»: 2 1 Дата фактического изменения сведений (например: смена адреса учреждения или его филиалов, внесение изменений в реквизиты, учредительные документы и проч.) Текст скорректированного уведомления (полностью) Информационное письмо + 20
Контактная информация Спасибо за внимание 21

Recommended

Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
Марина Зимницкая
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
ГБОУ № 509
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912
Mikhail Emeliyannikov
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_Емельянников
Mikhail Emeliyannikov
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 

Recommended

Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
Марина Зимницкая
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
ГБОУ № 509
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912
Mikhail Emeliyannikov
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_Емельянников
Mikhail Emeliyannikov
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...
himbaza
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗАнатолий Попов
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработке
TCenter500
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данных
TCenter500
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Mikhail Emeliyannikov
 
ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011Lily Nabochenko
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентов
Medpoisk.pro
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
Ksenia Shudrova
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
Константин Бажин
 
Базы персональных данных
Базы персональных данныхБазы персональных данных
Базы персональных данныхmitridat
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur Aitov
Timur AITOV
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
DimOK AD
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
Ksenia Shudrova
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Artem Kozlyuk
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
VidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-SystemVidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-System
Louder
 

More Related Content

What's hot

Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...
himbaza
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработке
TCenter500
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данных
TCenter500
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Mikhail Emeliyannikov
 
ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011Lily Nabochenko
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентов
Medpoisk.pro
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
Ksenia Shudrova
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
Константин Бажин
 
Базы персональных данных
Базы персональных данныхБазы персональных данных
Базы персональных данныхmitridat
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur Aitov
Timur AITOV
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
DimOK AD
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
Ksenia Shudrova
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Artem Kozlyuk
 

What's hot (20)

Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Уведомление об обработке
Уведомление об обработкеУведомление об обработке
Уведомление об обработке
 
Реестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данныхРеестр операторов, осуществляющих обработку персональных данных
Реестр операторов, осуществляющих обработку персональных данных
 
P dn docs
P dn docsP dn docs
P dn docs
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
 
ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011ISACA_Slides_Ermolaev_16 December 2011
ISACA_Slides_Ermolaev_16 December 2011
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентов
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
 
Базы персональных данных
Базы персональных данныхБазы персональных данных
Базы персональных данных
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur Aitov
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерации
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
Гостайна
ГостайнаГостайна
Гостайна
 
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
Подзаконка по 97-ФЗ - Перечень личных, семейных и домашних нужд при осуществл...
 

Viewers also liked

20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
VidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-SystemVidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-System
Louder
 
Masa Depanku Stefanie 6c
Masa Depanku Stefanie 6cMasa Depanku Stefanie 6c
Masa Depanku Stefanie 6c
iwan hendrawan
 
cokiees
cokieescokiees
cokiees
alind tiwari
 
Nan's pitch
Nan's pitchNan's pitch
Nan's pitch
alind tiwari
 
Komputerku Nanda 5 C
Komputerku Nanda 5 CKomputerku Nanda 5 C
Komputerku Nanda 5 C
iwan hendrawan
 
My Pitch to end hunder
My Pitch to end hunderMy Pitch to end hunder
My Pitch to end hunder
alind tiwari
 
Greenathan
GreenathanGreenathan
Greenathan
alind tiwari
 
Samvit Insights Profile
Samvit Insights ProfileSamvit Insights Profile
Samvit Insights Profile
arijitchanda
 
Speadster
SpeadsterSpeadster
Speadster
alind tiwari
 
Komputerku Rania 4a
Komputerku Rania 4aKomputerku Rania 4a
Komputerku Rania 4a
iwan hendrawan
 
Yanlu D H T C Hdr Texture Compression
Yanlu D H T C Hdr Texture CompressionYanlu D H T C Hdr Texture Compression
Yanlu D H T C Hdr Texture Compression
ozlael ozlael
 
Beready
BereadyBeready
Beready
alind tiwari
 
Green_shopping
Green_shoppingGreen_shopping
Green_shopping
alind tiwari
 
Keyword Research Tactics for Pay-Per-Click Marketing
Keyword Research Tactics for Pay-Per-Click MarketingKeyword Research Tactics for Pay-Per-Click Marketing
Keyword Research Tactics for Pay-Per-Click Marketing
Matt DeYoung
 
Artificial intelligence - finals - Nitte
Artificial intelligence - finals - NitteArtificial intelligence - finals - Nitte
Artificial intelligence - finals - Nitte
Rajat Shetty
 
Rocks of the esrt guide
Rocks of the esrt guideRocks of the esrt guide
Rocks of the esrt guide
West Hollow MS Ms. Gill
 
Whitepaper 5 noodzakelijke competenties om klantgericht te opereren
Whitepaper 5 noodzakelijke competenties om klantgericht te opererenWhitepaper 5 noodzakelijke competenties om klantgericht te opereren
Whitepaper 5 noodzakelijke competenties om klantgericht te opereren
CRM excellence
 

Viewers also liked (20)

20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02
 
VidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-SystemVidInc Sydney - The Evolving Digital Eco-System
VidInc Sydney - The Evolving Digital Eco-System
 
Masa Depanku Stefanie 6c
Masa Depanku Stefanie 6cMasa Depanku Stefanie 6c
Masa Depanku Stefanie 6c
 
cokiees
cokieescokiees
cokiees
 
Nan's pitch
Nan's pitchNan's pitch
Nan's pitch
 
Komputerku Nanda 5 C
Komputerku Nanda 5 CKomputerku Nanda 5 C
Komputerku Nanda 5 C
 
My Pitch to end hunder
My Pitch to end hunderMy Pitch to end hunder
My Pitch to end hunder
 
Greenathan
GreenathanGreenathan
Greenathan
 
Samvit Insights Profile
Samvit Insights ProfileSamvit Insights Profile
Samvit Insights Profile
 
Speadster
SpeadsterSpeadster
Speadster
 
Komputerku Rania 4a
Komputerku Rania 4aKomputerku Rania 4a
Komputerku Rania 4a
 
Yanlu D H T C Hdr Texture Compression
Yanlu D H T C Hdr Texture CompressionYanlu D H T C Hdr Texture Compression
Yanlu D H T C Hdr Texture Compression
 
Beready
BereadyBeready
Beready
 
waste management
waste managementwaste management
waste management
 
Green_shopping
Green_shoppingGreen_shopping
Green_shopping
 
Keyword Research Tactics for Pay-Per-Click Marketing
Keyword Research Tactics for Pay-Per-Click MarketingKeyword Research Tactics for Pay-Per-Click Marketing
Keyword Research Tactics for Pay-Per-Click Marketing
 
Artificial intelligence - finals - Nitte
Artificial intelligence - finals - NitteArtificial intelligence - finals - Nitte
Artificial intelligence - finals - Nitte
 
Rocks of the esrt guide
Rocks of the esrt guideRocks of the esrt guide
Rocks of the esrt guide
 
Whitepaper 5 noodzakelijke competenties om klantgericht te opereren
Whitepaper 5 noodzakelijke competenties om klantgericht te opererenWhitepaper 5 noodzakelijke competenties om klantgericht te opereren
Whitepaper 5 noodzakelijke competenties om klantgericht te opereren
 
Pp Lect10 11
Pp Lect10 11Pp Lect10 11
Pp Lect10 11
 

Similar to 20090929_Personal data

защита Пд работника
защита Пд работниказащита Пд работника
защита Пд работникаNatasha Fedorova
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization Requirement
Vladislav Arkhipov
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
MFISoft
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Expolink
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
«ГК ГЭНДАЛЬФ»
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
elenae00
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
Рекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данныхРекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данных
Andrey Kryvonos
 
rrrrrrrrrrrr
rrrrrrrrrrrrrrrrrrrrrrrr
rrrrrrrrrrrr1111
 
COOL!w45
COOL!w45COOL!w45
COOL!w451111
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01guest211bf6d
 
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Павел Семченко
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 

Similar to 20090929_Personal data (19)

защита Пд работника
защита Пд работниказащита Пд работника
защита Пд работника
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization Requirement
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутмента
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
Рекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данныхРекомендации по работе с персональными базами данных
Рекомендации по работе с персональными базами данных
 
rrrrrrrrrrrr
rrrrrrrrrrrrrrrrrrrrrrrr
rrrrrrrrrrrr
 
COOL!w45
COOL!w45COOL!w45
COOL!w45
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 

20090929_Personal data

  • 1. Подходы к организации работы с персональными данными в учреждениях медико-социальной экспертизы Ханты-Мансийск, 29.09.2009 Сергей Бурылин, ЗАО «АРМАДА СОФТ»
  • 2. Истоки проблемы Персональные данные 1 «Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108)» 2 Цель настоящей Конвенции состоит в обеспечении на территории каждой Стороны для каждого физического лица независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его данных личного характера (защита данных). 3 2 Страсбург, 28.01.1981, Совет Европы Конституция РФ, ст.23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Федеральный закон от 19.12. 2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Страсбург, 07.11.2001 Российская Федерация подписала Конвенцию
  • 3. 152-ФЗ «О персональных данных»: основные понятия (ст.3) Федеральный закон от 27.07.2006 №152-ФЗ персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация 3 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
  • 4. 152-ФЗ «О персональных данных»: ключевые даты Федеральный закон от 27.07.2006 №152-ФЗ 26.01.2007 – Закон вступил в силу (180 дней после официального опубликования) 4 До 01.01.2008 – Операторы, осуществляющие обработку персональных данных обязаны направить уведомление в уполномоченный орган по защите прав субъектов персональных данных Не позднее 01.01.2010 – Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона По состоянию на 28.09.2009 в реестре операторов, осуществляющих обработку персональных данных (http://pd.rsoc.ru/), зарегистрированы только 12 ФГУ ГБ МСЭ !!!
  • 5. Регуляторы в сфере персональных данных Кто является регуляторами? 5 (Постановление Правительства Российской Федерации от 02.06.2008 № 419) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Федеральная служба безопасности (ФСБ России) Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь РФ) http://www.rsoc.ru/
  • 6. С чего начать? Организация работы с персональными данными ШАГ №1 – Подача уведомления об обработке персональных данных 6 ШАГ №2 – разработка внутренней нормативной документации (локальные акты Оператора), регламентирующей деятельность сотрудников по работе с персональными данными внутри учреждения (организации). ШАГ №0 – Идентификация всех видов персональных данных, обработка которых ведется в учреждении МСЭ ШАГ №3 – Проведение организационных и технических мероприятий по организации работы с персональными данными Основные виды персональных данных в учреждении МСЭ: Персональные данные освидетельствуемых лиц Персональные данные работников учреждения Персональные данные, получаемые при обработке обращений граждан
  • 7. Уведомление об обработке персональных данных Подготовка уведомления 7 Руководителю Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Иркутской области В.Ф. Миронову Халтурина, д. 7 г. Иркутск, 664011 1. Оформляется на бланке Оператора УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных _____________________________________________________________________________ (наименование (фамилия, имя, отчество), адрес оператора) руководствуясь _____________________________________________________________________________ (правовое основание обработки персональных данных) с целью _____________________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: ________________________________________________________________________ (категории персональных данных) _____________________________________________________________________________ принадлежащих: _____________________________________________________________________________ (категории субъектов, персональные данные которых _____________________________________________________________________________ обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем _____________________________________________________________________________ (Перечень действий с персональными данными, общее описание используемых оператором _____________________________________________________________________________ способов обработки персональных данных) 2. На имя руководителя территориального органа Роскомнадзора 3. Текст Уведомления заполняется по форме, утвержденной Приказом Россвязькомнадзора от 17.07.2008 №08 «Об утверждении образца формы уведомления об обработке персональных данных»
  • 8. Уведомление об обработке персональных данных. Рекомендации по заполнению Тип оператора Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 Явных указаний не содержит Возможные варианты заполнения: • Физическое лицо • Юридическое лицо • Государственный орган Возможные ошибки: В ряде случаев в Реестр операторов учреждение МСЭ попадает как «Юридическое лицо», что не совсем корректно 8
  • 9. Наименование (Ф.И.О), адрес оператора Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 4.3. Для государственных, муниципальных органов (операторов): • полное и сокращенное наименование государственного, муниципального органа; • местонахождение (в соответствии с учредительными документами и свидетельством о постановке юридического лица на учёт в налоговом органе, контактная информация); • индивидуальный номер налогоплательщика (ИНН). При указании наименования (фамилии, имени, отчества), адреса оператора, а также направления деятельности рекомендуется использовать ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Рекомендации по заполнению: • Указать коды главного бюро по максимальному количеству классификаторов • Здесь же перечислить одним списком сведения обо всех филиалах (наименование филиала и адрес местонахождения) • Все адреса приводить с почтовыми индексами Уведомление об обработке персональных данных. Рекомендации по заполнению 9
  • 10. Правовое основание обработки персональных данных 8. В поле «правовое основание обработки персональных данных» указываются: - Федеральный закон, постановление Правительства Российской Федерации, иной нормативно- правовой акт, закрепляющий основание и порядок обработки персональных данных. - Номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Рекомендации по заполнению: • Указать нормативные документы, которые устанавливают необходимость и порядок обработки персональных данных: • Федеральные законы (181-ФЗ, 152-ФЗ, трудовой кодекс и т.д), • актуальные на данный момент Постановления/Распоряжения Правительства РФ, • приказы Минздравсоцразвития, ФМБА России, • Устав и локальные акты МСЭ. • Желательно указывать ссылки на конкретные статьи перечисленных выше нормативных документов Возможные ошибки: Следует избегать упоминания утративших силу нормативно-правовых актов, например, таких как Распоряжение Правительства РФ от 16.12.2004 №1646, ссылка на Устав, утвержденный Росздравом и т.д. Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 Уведомление об обработке персональных данных. Рекомендации по заполнению 10
  • 11. Цель обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 5. В поле «цель обработки персональных данных» указываются цели обработки персональных данных (а также их соответствие полномочиям оператора). Примечание. Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели фактически осуществляемой оператором деятельности по обработке персональных данных. Рекомендации по заполнению: • Можно напрямую процитировать формулировки из соответствующих нормативных актов, например: • В части проведения медико-социальной экспертизы - из ПП №805 и №95; • По кадровым вопросам – из гл.14 ТК РФ; • По вопросам обработки обращений граждан – из Федерального закона от 02.05.2006 N 59-ФЗ. Уведомление об обработке персональных данных. Рекомендации по заполнению 11
  • 12. Категории персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 6. В поле «категории персональных данных» указываются одна или несколько категорий персональных данных, подлежащих обработке: 6.1. Персональные данные (любая информация, относящаяся к определённому или определяемому на основе такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте). 6.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни). 6.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность). Рекомендации по заполнению: • Желательно привести как можно более полное перечисление всех категорий персональных данных, которые реально обрабатываются в учреждении • При этом для каждой категории персональных данных при необходимости нужно уметь дать объяснение, с какой целью эти данные собираются и каковы основания для их сбора Уведомление об обработке персональных данных. Рекомендации по заполнению 12
  • 13. Категории субъектов, персональные данные которых обрабатываются Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 7. В поле «категории субъектов, персональные данные которых обрабатываются» указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заёмщик, вкладчик, страхователь, заказчик и др.), субъекты, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др. Рекомендации по заполнению: • Следует перечислить все категории субъектов, персональные данные которых обрабатываются в учреждении МСЭ, например: • лица, обратившиеся для прохождения медико-социальной экспертизы и(или) их законные представители; • граждане, подавшие в бюро МСЭ обращения, подлежащие обязательной регистрации; • сотрудники учреждения (в рамках трудовых отношений). Возможные ошибки: • Примеры не самых удачных формулировок: «инвалиды всех групп», «инвалиды и пострадавшие на производстве» • Не стоит забывать про трудовые отношения с собственными сотрудниками Уведомление об обработке персональных данных. Рекомендации по заполнению 13
  • 14. Перечень действий с персональными данными Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 9. В поле «перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных», указываются действия, совершаемые оператором с персональными данными (например: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение), а также описание используемых оператором способов обработки персональных данных (например: неавтоматизированная обработка персональных данных; или исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой; или смешанная обработка персональных данных). Примечание. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации). Рекомендации по заполнению: • Чаще всего, в учреждении МСЭ совершается практически все перечисленные действия над персональными данными, при этом способы обработки могут быть разными для разных категорий ПДн. Возможно, будет уместно явно указать, какие данные обрабатываются без использования средств автоматизации, а какие - только в автоматизированном режиме и т.д. • Стоит проконсультироваться в территориальном органе Роскомнадзора, нужно ли явно указывать названия программных продуктов, используемых при автоматизированной обработке персональных данных Уведомление об обработке персональных данных. Рекомендации по заполнению 14
  • 15. Описание мер, которые оператор обязуется осуществлять […] Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 10. В поле «описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке», указываются: а) класс информационной системы персональных данных оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/8б/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»); б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных. В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения: а) наименование, регистрационные номера и производители используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок; г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/5-144. Уведомление об обработке персональных данных. Рекомендации по заполнению 15
  • 16. Дата начала обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 11. В поле «дата начала обработки персональных данных» указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (указывается фактическая дата начала обработки персональных данных). Рекомендации по заполнению: • Ключевое слово – «фактическая» дата. При этом явно не указано, что имеется ввиду только автоматизированная обработка Возможные ошибки: • Иногда дата начала обработки персональных данных указывается такой же, что и дата подачи уведомления об обработке персональных данных. Это, как правило, неверно Уведомление об обработке персональных данных. Рекомендации по заполнению 16
  • 17. Срок или условие прекращения обработки персональных данных Приложение № 2 к Приказу Россвязькомнадзора от 17.07.2008 №08 11. В поле «срок или условие прекращения обработки персональных данных» указывается конкретная дата или основание (условие), наступление которого повлечёт прекращение обработки персональных данных. Рекомендации по заполнению: • Как правило, явно установить дату прекращения обработки персональных данных затруднительно. Поэтому разумным вариантом является указание именно условия прекращения такой обработки. Например: «внесение изменений в учредительные документы, изменение правовых оснований обработки, ликвидация или приостановка деятельности учреждения». Возможные ошибки: • Пример не самой удачной формулировки: «По указанию Федерального агентства по здравоохранению и социальному развитию» Уведомление об обработке персональных данных. Рекомендации по заполнению 17
  • 18. Рекомендуемый порядок подачи уведомления Рекомендуемый порядок работы при подготовке и подаче уведомления 1 Сайт территориального органа Роскомнадзора → Раздел по работе с персональными данными. Узнать: Ф.И.О. руководителя, контактные данные ответственных специалистов. Скачать: бланк уведомления, рекомендации по заполнению. 2 Заполнение уведомления, договориться по телефону со специалистом Роскомнадзора о возможности согласования текста подготовленного уведомления по электронной почте и проведение такого согласования 3 Печать согласованного текста уведомления, его подписание и направление в территориальный орган Роскомнадзора официальным письмом (на бланке, с исх. номером и т.п.) http://www.rsoc.ru/ → http://86.rsoc.ru/ 18
  • 19. Как происходит включение в Реестр Операторов Включение в реестр операторов, осуществляющих обработку персональных данных 1 … в течение 30 дней с даты поступления Уведомления принимается решение о включении Оператора в Реестр, которое оформляется в виде приказа руководителя Службы или заместителя руководителя Службы о включении Оператора в Реестр. 3 2 3 30 дней 3 дня Согласно «Положения о ведении реестра операторов, осуществляющих обработку персональных данных»: 2 1 Дата поступления уведомления в территориальный орган Роскомнадзора Информация о внесении Оператора в Реестр должна быть опубликована на официальном сайте Службы в сети Интернет не позднее 3 (трех) дней с даты подписания приказа http://pd.rsoc.ru/ Регистрационный номер 19
  • 20. Внесение изменений после включения в Реестр Операторов Внесение изменений после включения в реестр операторов, осуществляющих обработку ПДн 1 … Оператор обязан уведомить об изменениях Службу в течение 10 (десяти) рабочих дней с даты возникновения таких изменений. Внесение указанных изменений в Реестр производится на основании приказа руководителя Службы или заместителя руководителя и не приводит к изменению регистрационного номера соответствующей записи в Реестре 2 10 дней Согласно «Положения о ведении реестра операторов, осуществляющих обработку персональных данных»: 2 1 Дата фактического изменения сведений (например: смена адреса учреждения или его филиалов, внесение изменений в реквизиты, учредительные документы и проч.) Текст скорректированного уведомления (полностью) Информационное письмо + 20