Похожие презентации:
Защиты информации от НСД. Правовые основы защиты информации
1.
Мингосуправления Московской области, ЗНУ ИБМозговой Андрей Валериевич
ИУ-10, 2024
2.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИ ОБРАБОТКИ ИЗАЩИТЫ ПДН (ФЗ)
ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».
3.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗАЩИТЫ ПДН (ПП)
ПП РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их
обработке в ИСПДн».
ПП РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных
данных» и принятыми в соответствии с ним НПА, операторами, являющимися
государственными или муниципальными органами».
4.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗАЩИТЫ ПДН (ПП)
ПП РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным
носителям биометрических ПДн и технологиям хранения таких данных вне
ИСПДн».
ПП РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях
обработки ПДн, осуществляемой без использования средств автоматизации».
5.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗИ ПДН (ПРИКАЗЫ)
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности ПДн при их
обработке в ИСПДн».
Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности ПДн при их
обработке в ИСПДн с использованием СКЗИ (…)».
6.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗИ ПДН (ПРИКАЗЫ)
Приказ ФСБ России от 13 февраля 2023 г. № 77 «Об утверждении порядка
взаимодействия операторов с ГОССОПКА, включая информирование ФСБ России о
компьютерных инцидентах, повлекших неправомерную передачу (предоставление,
распространение, доступ) ПДн».
Приказ РКН от 05.09.2013 г. № 996 «Об утверждении требований и методов по
обезличиванию ПДн».
Приказ РКН от 30.05.2017 г. № 94 «Об утверждении мет. рек. по уведомлению
уполномоченного органа о начале обработки ПДн и о внесении изменений в ранее
представленные сведения».
Приказ РКН от 24.02.2021 г. № 18 «Об утверждении требований к содержанию
согласия на обработку ПДн, разрешенных субъектом ПДн для распространения».
7.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗИ ПДН (ПРИКАЗЫ)
Приказ РКН от 14 ноября 2022 г. N 187 «Об утверждении Порядка и условий
взаимодействия Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций с операторами в рамках ведения реестра
учета инцидентов в области персональных данных».
Приказ РКН от 27 октября 2022 г. N 178 «Об утверждении Требований к оценке вреда,
который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона «О персональных данных».
Приказ РКН от 28 октября 2022 г. № 179 «Об утверждении Требований к
подтверждению уничтожения персональных данных».
8.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗИ ПДН (ОСТАЛЬНОЕ)
Методика оценки угроз безопасности информации (Утверждена ФСТЭК России
05.02.2021 г.).
Базовая модель угроз безопасности ПДн при их обработке в ИСПДн. (Утв. ФСТЭК
России 15.02.2008г.).
Банк данных УБИ (bdu.fstec.ru) – регулярно обновляется.
9.
ОСНОВНЫЕ ДОКУМЕНТЫ В ОБЛАСТИОБРАБОТКИ И ЗИ ПДН (ОСТАЛЬНОЕ)
На основании и во исполнение ФЗ ОГВ, ОМСУ, БР могут принимать НПА по отдельным
вопросам обработки ПДн; Эти НПА не могут ограничивать права субъектов ПДн или
возлагать на операторов ПДн не предусмотренные законодательством обязанности.
Если такие НПА регулируют отношения, связанные с трансграничной передачей ПДн,
обработкой
ПДн-с,
ПДн-б,
ПДн
несовершеннолетних,
предоставлением/распространением ПДн, полученных в р-те обезличивания – такие
НПА подлежат согласованию с РКН
Если международным договором РФ установлены иные правила, чем те,
которые предусмотрены 152-ФЗ, применяются правила международного
договора.
Решения межгосударственных органов, принятые на основании
положений международных договоров РФ в их истолковании,
противоречащем Конституции РФ, не подлежат исполнению в РФ. Такое
противоречие может быть установлено в порядке, определенном
федеральным конституционным законом
10.
Все отношения с ПДн, кроме возникающихпри:
1. обработке ПДн ФЛ исключительно для
личных и семейных нужд, если при этом не
нарушаются права субъектов ПДн;
2. организации хранения, комплектования,
учётаи использования содержащих ПДн
документов Архивного фонда РФ и др.
архивных документов в соответствии
с законодательством об архивном деле;
3. обработке ПДн, отнёсенных к ГТ.
Предоставление, распространение, передача и получение информации о
деятельности судов в РФ, содержащей ПДн, ведение и использование ИС и
ИТКС в целях создания условий для доступа к указанной информации
осуществляются в соответствии с 262-ФЗ.
11.
Персональные данные — любая информация, относящаяся к прямо или косвенноопределённому или определяемому физическому лицу (субъекту персональных
данных).
ПДн, разрёшенные субъектом для распространения — ПДн, доступ неограниченного
круга лиц к которым предоставлен субъектом ПДн путём дачи согласия на обработку
ПДн, разрёшенных субъектом ПДн для распространения в порядке, предусмотренном
152-ФЗ.
12.
Обработка ПДн — любое действие или совокупность действий, совершаемых сиспользованием средств автоматизации или без них с ПДн, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение ПДн.
13.
Автоматизированная обработке ПДн — обработке персональных данных с помощьюсредств вычислительной техники;
Распространение, предоставление ПДн – так же, как и в 149-ФЗ, но в отношении ПДн;
Блокирование ПДн — временное прекращение обработки ПДн (за исключением
случаев, если обработке необходима для уточнения ПДн);
Уничтожение ПДн — действия, в результате которых становится невозможным
восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются
материальные носители ПДн;
Обезличивание ПДн — действия, в результате которых становится невозможным без
использования дополнительной информации определить принадлежность ПДн
конкретному субъекту ПДн;
Трансграничная передача ПДн — передача ПДн на территорию иностранного
государства органу власти иностранного государства, иностранному физ. лицу или
иностранному юр. лицу.
14.
Оператор (ПДн) — государственный орган, муниципальный орган, юридическое илифизическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн,
состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
ИСПДн — совокупность содержащихся в базах данных ПДн и обеспечивающих их
обработку информационных технологий и ТС.
15.
Обработка ПДн должна осуществляться на законной и справедливой основе.Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных
и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
Не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в
целях, несовместимых между собой. Обработке подлежат только ПДн, которые
отвечают целям их обработки;
Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям
обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к
заявленным целям их обработки.
16.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а внеобходимых случаях и актуальность по отношению к целям обработки. Оператор должен
принимать (либо обеспечивать) необходимые меры по удалению или уточнению
неполных/неточных ПДн.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн,
не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не
установлен ФЗ, договором, стороной/ выгодоприобретателем/поручителем по которому
является субъект ПДн.
(Если иное не установлено ФЗ).
17.
Наличие согласия субъекта ПДн(на их обработку в соответствующих целях)
Остальные перечисленные цели – равнозначны наличию солгасия!
18.
для достижения целей, предусмотренных международным договором РФ
или законом, для осуществления и выполнения возложенных
законодательством РФ на оператора функций, полномочий, обязанностей;
в связи с участием
лица в конституционном, гражданском,
административном, уголовном судопроизводстве, судопроизводстве в
арбитражных судах; для исполнения судебного акта, акта другого органа
или должностного лица, подлежащих исполнению в соответствии
с законодательством РФ об исполнительном производстве;
для исполнения полномочий ФОИВ/РОИВ/ОМСУ и функций организаций,
участвующих в предоставлении соответственно госу/мун услуг по 210-ФЗ,
включая регистрацию субъекта ПДн на ЕПГУ/РПГУ;
(это разные цели!)
для исполнения договора, стороной/выгодоприобретателем/поручителем
по которому является субъект ПДн; для заключения договора по
инициативе субъекта ПДн, договора, по которому субъект ПДн будет
выгодоприобретателем/поручителем;
(договор не может нарушать права субъекта)
19.
для защиты жизни, здоровья или иных жизненно важных интересов
субъекта персональных данных, если получение согласия субъекта
персональных данных невозможно;
для осуществления прав и законных интересов оператора или третьих
лиц, в т.ч. в случаях, предусмотренных ФЗ "О защите прав и законных
интересов ФЗ при осуществлении деятельности по возврату просроченной
задолженности …", либо для достижения общественно значимых целей
при условии, что при этом не нарушаются права и свободы субъекта ПДн;
для осуществления проф. деятельности журналиста и/или СМИ либо
научной, литературной или иной творческой деятельности при условии,
что при этом не нарушаются права и законные интересы субъекта ПДн;
в статистических или иных исследовательских целях, за исключением
целей, указанных в ст.15 152-ФЗ (реклама);
полученных в результате обезличивания ПДн, осуществляется в целях
повышения эффективности гос/мун управления, в иных целях по 123-ФЗ;
обработка ПДн, подлежащих
раскрытию в соответствии с ФЗ.
опубликованию
или
обязательному
Для ПДн-б и ПДн-с – случаи другие !
20.
ПДн специальных категорий – ПДн, касающиеся расовой,национальной
принадлежности,
политических
взглядов,
религиозных или философских убеждений, состояния здоровья,
интимной жизни (ч.1 ст.10 152-ФЗ).
Также – сведения о судимости (ч.3 ст.10 152-ФЗ)
Наличие согласия субъекта ПДн
в письменной форме (= УКЭП)
(на их обработку в соответствующих целях)
Остальные перечисленные цели – равнозначны наличию солгасия!
21.
необходима для защиты жизни, здоровья или иных жизненно важных
интересов субъекта персональных данных либо жизни, здоровья или
иных жизненно важных интересов других лиц и получение согласия
субъекта ПДн невозможно;
в соответствии с зак-вом о соц. помощи, трудовым, пенсионным зак-вом,
об обороне, о безопасностити, о противодействии терроризму, о
транспортной безопасности, о противодействии коррупции, об ОРД, об
исполнительном производстве, уголовно-исполнительном зак-вом, об
обязательных видах страхования, страховым, о гражданстве РФ, об
обязательных видах страхования, со страховым зак-вом;
для установления/осуществления прав субъекта или третьих лиц, в связи с
осуществлением правосудия;
в установленных законодательством случаях органами прокуратуры в
связи с осуществлением ими прокурорского надзора;
в медико-профилактических целях, для установления мед. диагноза,
оказания мед. и медико-социальных услуг при условии, что обработка
ПДн осуществляется лицом, профессионально занимающимся мед.
деятельностью и обязанным сохранять врачебную тайну;
22.
в связи с реализацией международных договоров РФ о реадмиссии;
в соответствии с 8-ФЗ «О Всероссийской переписи населения»;
ПДн членов (участников) общественного объединения или религиозной
организации (соотв. объединением/организацией, действующими в
соответствии с законодательством РФ, для достижения законных целей,
предусмотренных их учредительными документами, при условии, что
ПДн не будут распространяться без согласия в письменной форме);
в случаях, предусмотренных зак-вом РФ, гос/мун органами или
организациями в целях устройства детей, оставшихся без попечения
родителей, на воспитание в семьи граждан.
Обработка ПДн, разрешенных субъектом ПДн для распространения,
осуществляется с соблюдением запретов и условий, предусмотренных ст.
10.1 152-ФЗ.
Обработка ПДн-с должна быть незамедлительно прекращена, если
устранены причины, вследствие которых осуществлялась обработка, если
иное не установлено ФЗ.
23.
Биометрические ПДн – сведения, которые характеризуютфизиологические и биологические особенности человека, на
1
основании
которых
можно
установить
его
личность
2
(биометрические персональные данные) и которые используются
оператором для установления личности субъекта ПДн.
3
Необходимо совпедение всех трех признаков!
Наличие согласия субъекта ПДн
в письменной форме (= УКЭП)
(на их обработку в соответствующих целях)
Остальные перечисленные цели – равнозначны наличию солгасия!
24.
в связи в связи с реализацией международных договоров РФ о
реадмиссии, с осуществлением правосудия и исполнением судебных
актов, с проведением обязательной государственной дактилоскопической
регистрации, обязательной государственной геномной регистрации, а
также в случаях, предусмотренных законодательством РФ об обороне, о
безопасности, о противодействии терроризму, о транспортной
безопасности, о противодействии коррупции, об ОРД, о гос. службе,
уголовно-исполнительным законодательством РФ, законодательством РФ
о порядке выезда из РФ и въезда в РФ, о гражданстве РФ,
законодательством РФ о нотариате.
Предоставление ПДн-б не может быть обязательным, за исключением
перечисленных случаев. Оператор не вправе отказывать в обслуживании в
случае отказа субъекта ПДн предоставить ПДн-б и (или) дать согласие на
обработку ПДн, если в соответствии с ФЗ получение оператором согласия на
обработку ПДн не является обязательным.
25.
ПДн, разрешённые субъектом для распространения — ПДн, доступнеограниченного круга лиц к которым предоставлен субъектом ПДн путём дачи
согласия на обработку таких ПДн, в порядке, предусмотренном 152-ФЗ.
26.
Согласие:оформляется отдельно от других согласий;
содержит перечень ПДн по каждой категории, указанной в согласии;
дается оператору непосредственно или с использованием специальной ИС РКН;
субъект вправе установить запреты на передачу (кроме предоставления доступа)
этих ПДн оператором неограниченному кругу лиц, и запреты на обработку или
условия обработки (кроме получения доступа) этих ПДн неограниченным кругом
лиц. Отказ оператора в установлении субъектом таких запретов не допускается;
запреты на передачу (кроме предоставления доступа), а также на
обработку или условия обработки (кроме получения доступа) ПДн,
разрешенных
субъектом
ПДн
для
распространения,
не
распространяются на случаи обработки ПДн в гос., общественных и
иных публичных интересах, определенных законодательством РФ
27.
Условия:при раскрытии ПДн неопределенному кругу лиц самим субъектом ПДн
без предоставления оператору согласия либо если ПДн оказались
раскрытыми неопределенному кругу лиц вследствие правонарушения,
преступления или обстоятельств непреодолимой силы обязанность
предоставить доказательства законности последующего распространения или иной
обработки таких ПДн- на каждом лице, осуществившем распространение/обработку;
если из согласия не следует, что субъект согласился с распространением ПДн, такие
ПДн обрабатываются оператором, которому они предоставлены, без права
распространения;
если из согласия не следует, что субъект не установил запреты и условия на обработку
ПДн или если в нем не указаны категории/перечень ПДн, для обработки которых он
их устанавливает, такие ПДн обрабатываются оператором, без передачи (распр.,
предост., доступа) и возможности осуществления иных действий неограниченному
кругу лиц;
28.
Условия:молчание/бездействие субъекта ПДн не может считаться согласием;
оператор обязан в срок не позднее трех рабочих дней с момента получения согласия
опубликовать информацию об условиях обработки и о наличии запретов и условий на
обработку неограниченным кругом лиц таких ПДн;
передача таких ПДн должна быть прекращена в любое время по требованию
субъекта, включающего в себя ФИО, контакты субъекта, перечень ПДн, обработка
которых подлежит прекращению. Указанные в данном требовании ПДн могут
обрабатываться только оператором, которому оно направлено. Действие согласия
субъекта прекращается с момента поступления оператору такого требования;
субъект вправе обратиться с требованием прекратить передачу своих ПДн, ранее
разрешенных для распространения, к любому лицу, обрабатывающему его ПДн или
обратиться с таким требованием в суд. После этого лицо обязано прекратить передачу
ПДн в течение 3 раб. дней или в срок, указанный в решении суда.
29.
Требования настоящей статьи не применяются в случае обработкиперсональных данных в целях выполнения возложенных законодательством
Российской Федерации на государственные органы, муниципальные
органы, а также на подведомственные таким органам организации
функций, полномочий и обязанностей
30.
В целях информационного обеспечения могут создаваться общедоступныеисточники ПДн (в т.ч. справочники, адресные книги). В общедоступные
источники ПДн с письменного согласия субъекта ПДн могут включаться его
фамилия, имя, отчество, год и место рождения, адрес, абонентский номер,
сведения о профессии и иные ПДн, сообщаемые субъектом ПДн
перечень открытый
Сведения о субъекте ПДн должны быть в любое время исключены из
общедоступных источников ПДн по требованию субъекта ПДн либо по
решению суда или иных уполномоченных государственных органов
31.
Оператор вправе поручить обработку ПДн другому лицу с согласиясубъекта, если иное не предусмотрено ФЗ, на основании заключаемого с
этим лицом договора, в т.ч. гос/мун контракта, либо путем принятия гос/
мун органом соответствующего акта («поручение оператора»).
В поручении должны быть определены:
• перечень ПДн;
• перечень действий с ПДн;
• цели обработки;
• должна быть установлена обязанность
соблюдать конфиденциальность ПДн
и обеспечивать их безопасность;
• обязанность предоставлять док-ты, и иную информацию, подтверждающие
принятие мер
• должны быть указаны требования
к защите ПДн, в т.ч. требование
об уведомлении оператора об инцидентах.
Лицо, осуществляющее обработку ПДн по поручению оператора, не
обязано получать согласие субъекта.
32.
В случае, если оператор поручает обработку ПДн другому лицу,ответственность перед субъектом ПДн за действия указанного лица несет
оператор. Лицо, осуществляющее обработку ПДн по поручению оператора,
несет ответственность перед оператором.
В случае, если оператор поручает обработку ПДн иностранному ФЛ или иностранному
ЮЛ, ответственность перед субъектом ПДн за действия указанных лиц несет оператор и
лицо, осуществляющее обработку ПДн по поручению оператора.
Оператор
Ответственность
Лицо, обрабатывающее ПДн
по поручению оператора
Ответственность
Субъект ПДн
33.
Согласие должно быть конкретным, предметным, информированным,сознательным и однозначным. Согласие может быть дано субъектом или
его представителем в любой позволяющей подтвердить факт его получения
форме, если иное не установлено ФЗ. Полномочия представителя на дачу
согласия от имени субъекта ПДн проверяются оператором.
Обязанность предоставить доказательство получения согласия субъекта или
доказательство наличия оснований для возможности обработки ПДн без
согласия субъекта возлагается на оператора.
Требований к форме и содержанию согласия в общем случае нет!
34.
Согласие может быть отозвано субъектом ПДн.В случае отзыва согласия оператор вправе продолжить обработку ПДн без
согласия
субъекта
ПДн
при
наличии
оснований,
указанных
в
«исключениях» (обязанность предоставить доказательство наличия
«исключений» – на операторе).
Требований к форме и содержанию отзыва согласия в общем случае нет!
35.
В случае недееспособности субъекта ПДн согласие на обработку егоПДн
дает законный представитель субъекта
В случае смерти субъекта согласие на обработку его ПДн дают
наследники субъекта, если такое согласие не было дано субъектом при
его жизни.
Требования к содержанию согласия на обработку ПДн, разрешенных
субъектом для распространения, устанавливаются РКН.
ПДн могут быть получены оператором от лица, не являющегося
субъектом ПДн, при условии предоставления оператору подтверждения
наличия оснований, указанных в «исключениях».
36.
В случаях, предусмотренных ФЗ, обработка ПДн осуществляется только ссогласия в письменной форме ( ==согласие в форме электронного
документа, подписанного в соответствии с ФЗ электронной подписью)
Случаи:
1.
ПДн-с (ст.10).
2.
ПДн-б (ст.11).
3.
Включение в общедоступные источники (ст.8).
4.
Исключительно автоматизированная обработка ПДн, подразумевающая
решения, порождающее юридические последствия в отношении субъекта или
иным образом затрагивающее его права и законные интересы (ч.2 ст.16).
5.
Иные случаи, предусмотренные отраслевым законодательством.
37.
1.ФИО , адрес, номер основного документа, удостоверяющего его личность,
сведения о дате выдачи указанного документа и выдавшем его органе; то же по
представителю субъекта.
2.
Наименование или ФИО и адрес оператора, получающего согласие;
наименование или ФИО и адрес лица, осуществляющего обработку ПДн по
поручению оператора, если обработка будет поручена такому лицу.
3.
Цель обработки ПДн, перечень ПДн, перечень действий с ними, описание
способов обработки.
4.
Срок действия согласие, а также способ его отзыва, если иное не установлено
ФЗ.
5.
Подпись субъекта.
38.
После отзыва согласия (любого) оператор:обязан прекратить их обработку или обеспечить прекращение такой обработки в
течение 30 дней (в случае обращения субъекта с требованием о прекращении
обработки ПДн – не более 10 рабочих дней + 5 рабочих дней после направления
мотивированного уведомления о продлении срока);
может продолжить обработку при наличии «исключений»;
обеспечивает блокирование ПДн, если удалить невозможно, после чего удаляет
ПДн в течение 6 месяцев или иной установленный ФЗ срок;
подтверждение уничтожения ПДн – в соответствии с приказом РКН 179.
39.
Трансграничная передача ПДн осуществляется в соответствии с 152-ФЗ имеждународными договорами РФ
Оператор до начала осуществления деятельности по трансграничной
передаче ПДн обязан уведомить РКН о своем таком намерении. 152-ФЗ
устанавливает требования к содержанию уведомления (ч.4 ст.12)
(Это уведомление подается отдельно от уведомления об обработке ПДн!)
До подачи уведомления оператор обязан получить от ин.государства
(ОГВ, ФЛ, ЮЛ) сведения:
• о принимаемых мерах по ЗПДн и условиях прекращения обработки;
• о правовом регулировании в области ПДн ин.государства (если оно не
включено в перечень РКН и не является стороной Конвенции Совета
Европы о защите ФЛ при обработке ПДн);
об ОГВ/ФЛ/ЮЛ, которым будут передаваться ПДн (тел., э/п, адрес)
После направления уведомления до его рассмотрения РКН оператор не
вправе осуществлять трансграничную передачу ПДн (кроме передачи в
государства-стороны Конвенции СЕ либо находящиеся в перечне РКН)
Есть исключения из этого порядка (утп.Правительством РФ)
40.
Трансграничная передача ПДн может быть запрещена или ограничена вцелях защиты основ конституционного строя РФ, нравственности,
здоровья, прав и законных интересов граждан, обеспечения обороны
страны и безопасности государства, защиты экономических и
финансовых
интересов
РФ,
обеспечения
дипломатическими
и
международно-правовыми средствами защиты прав, свобод и интересов
граждан РФ, суверенитета, безопасности, территориальной целостности
РФ и др. ее интересов на международной арене с даты принятия РКН
такого решения по результатам рассмотрения РКН уведомления.
В случае принятия РКН решения о запрете, оператор обязан обеспечить
уничтожение ПДн ОГВ/ЮЛ/ФЛ ин.государства, куда они передавались
41.
ОГВ/ОМСУ создают в пределах своих полномочий, установленных всоответствии с федеральными законами, ГИС/МИС (?)
Федеральными законами могут быть установлены особенности учета ПДн
в ГИС/МИС ПДн, в т.ч. использование различных способов обозначения
принадлежности ПДн, содержащихся в соответствующей системе,
конкретному субъекту ПДн
Права и свободы человека и гражданина не могут быть ограничены по
мотивам, связанным с использованием различных способов обработки
ПДн или обозначения принадлежности ПДн в ГИС/МИС ПДн,
конкретному
субъекту
ПДн.
Не
допускается
использование
оскорбляющих чувства граждан или унижающих человеческое
достоинство способов обозначения такой принадлежности
В целях обеспечения реализации прав субъектов ПДн в связи с
обработкой их ПДн в ГИС/МИС ПДн может быть создан государственный
регистр населения, правовой статус которого и порядок работы с
которым устанавливаются федеральным законом
42.
1.Доступ к его ПДн и получение сведений об их обработке (ч.7 ст.14) – при
условии правильно оформленного обращения (ч.4 ст.14);
2.
Обратиться в РКН или в суд, если субъект считает, что его права нарушаются
(ст.17);
3.
Безвозмездное ознакомление с его ПДн, уточнение ПДн оператором (ч.3 чт.20);
4.
Требовать прекращения неправомерной обработки ПДн (ч.3 ст.21);
5.
Отозвать согласие на обработку ПДн (ч.5 ст.21).
43.
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн:подтверждение факта обработки ПДн оператором;
правовые основания и цели обработки ПДн;
цели и применяемые оператором способы обработки ПДн;
наименование и место нахождения оператора, сведения о лицах (кроме
работников оператора), которые имеют доступ к ПДн или которым могут быть
раскрыты ПДн на основании договора/ФЗ;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник
их получения, если иной порядок представления таких данных не предусмотрен
ФЗ;
сроки обработки ПДн, в том числе сроки их хранения;
44.
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн(продолжение):
порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной
передаче ПДн;
наименование или ФИО и адрес лица, осуществляющего обработку ПДн по
поручению оператора;
информацию о способах исполнения оператором своих обязанностей;
иные сведения, предусмотренные 152-ФЗ.
45.
Запрос на предоставление сведений должен содержать:номер основного документа, удостоверяющего личность субъекта ПДн или его
представителя;
сведения о дате выдачи документа и выдавшем его органе;
сведения, подтверждающие участие субъекта ПДн в отношениях с оператором
(номер договора, дата заключения договора, условное словесное обозначение и
(или) иные сведения), либо сведения, иным образом подтверждающие факт
обработки ПДн оператором;
подпись субъекта ПДн или его представителя.
Запрос может быть направлен в форме эл. документа и подписан ЭП.
Повторный запрос — не ранее 30 дней после первого, если сведения не были
предоставлены по результатам первого обращения (с обоснованием!)
46.
Право на доступ к его ПДн может быть ограничено в соответствии с федеральнымизаконами, если:
обработка ПДн, осуществляется в целях обороны страны, безопасности
государства и охраны правопорядка;
обработка ПДн осуществляется органами, осуществившими задержание
субъекта ПДн по подозрению в совершении преступления, либо предъявившими
субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту
ПДн меру пресечения до предъявления обвинения, за исключением случаев,
предусмотренных законодательством РФ;
обработка ПДн осуществляется в соотв. с законодательством о противодействии
легализации (отмыванию) доходов, полученных преступным путем, и
финансированию терроризма;
доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих
лиц;
обработка ПДн осуществляется в случаях, предусм. зак-вом РФ о транспортной
безопасности,
в
целях
обеспечения
устойчивого
и
безопасного
функционирования транспортного комплекса, защиты интересов личности,
общества и государства в сфере транспортного комплекса от актов незаконного
вмешательства.
47.
Обработка ПДн в целях продвижения товаров, работ, услуг на рынкепутем осуществления прямых контактов с потенц. потребителем с
помощью средств связи; в целях политической агитации допускается
только при условии предварительного согласия субъекта ПДн. Указанная
обработка признается осуществляемой без согласия, если оператор не
докажет, что оно было получено. Оператор обязан немедленно
прекратить обработку по требованию субъекта
Запрещается принятие на основании исключительно автоматизированной
обработки ПДн решений, порождающих юр. последствия в отношении
субъекта (иным образом затрагивающих его права и законные интересы,
кроме случаев:
наличие согласия в письменной форме;
в случаях, предусмотренных фед. законами, устанавливающими также
меры по обеспечению прав и законных интересов субъекта.
Оператор обязан разъяснить субъекту порядок принятия решения на
основании искл. автоматизированной обработки его ПДн и возможные
юр. последствия такого решения, предоставить возможность заявить
возражение против такого решения, разъяснить порядок защиты своих
прав и законных интересов. Оператор обязан рассмотреть возражение в
течение 30 дней и уведомить субъекта о результатах
48.
Субъект ПДн вправе обжаловать действия или бездействие оператора в РКН или всудебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
49.
Не нарушать права субъектов ;
Подать уведомление в РКН о начале обработки ПДн (кроме искл.);
Обеспечить запись, систематизацию, накопление, хранение, уточнение,
извлечение ПДн граждан РФ с использованием БД на территории РФ (кроме
исключений в ч.5 ст.18 152-ФЗ);
Назначить ответственного за организацию обработки ПДн;
Издать политику обработки ПДн, лНПА по вопросам обработки ПДн,
предотвращения/выявления нарушений, обеспечить к ней неограниченный
доступ;
50.
Применять правовые, организационные и технические меры по обеспечению
безопасности ПДн;
Осуществлять внутр. контроль и (или) аудит соответствия обработки ПДн
требованиям ФЗ;
Осуществлять оценку вреда субъектам ПДн от нарушения ФЗ по методике РКН, его
соотнесение принимаемым мерам;
Ознакомить работников с требованиями законодательства и локальными НПА;
Обеспечить вз/действие с ГОССОПКА, вкл.информировнаие об инцидентах
Для ОГВ/ОМСУ перечень мер, устанавливается Правительством РФ
51.
Оператор применяет правовые, организационные итехнические меры по обеспечению безопасности ПДн.
52.
Определение УБИ ПДн при их обработке в ИСПДн;
Применение организационных и технических мер ЗИ.
Применение прошедших
соответствия СрЗИ.
Оценку эффективности принимаемых мер по обеспечению ИБ ПДн до ввода в
эксплуатацию ИСПДн.
Учёт МНИ ПДн.
Обнаружение фактов НСД, и принятие мер по их обнаружению, предупреждению
и ликвидации, восстановление ПДн, модифицированных/уничтоженных от НСД.
Восстановление ПДн, модифицированных или уничтоженных вследствие НСД к
ним.
Установление прав доступа, регистрацию и учет действий с ПДн.
Контроль за принимаемыми мерами ЗИ.
в
установленном
порядке
процедуру
оценки
53.
Правительство РФ с учетом возможного вреда субъекту ПДн, объема исодержания обрабатываемых ПДн, вида деятельности, при осуществлении
которого обрабатываются ПДн, актуальности УБИ ПДн, устанавливает:
1. уровни защищенности ПДн при их обработке в ИСПДн;
2. требования к защите ПДн при их обработке в ИСПДн, исполнение
которых обеспечивает установленные уровни защищенности ПДн;
3. требования к материальным носителям ПДн-б и технологиям хранения
таких данных вне ИСПДн
Состав и содержание этих мер устанавливаются ФСТЭК России и ФСБ России
54.
ФОИВ, РОИВ, БР, органы государственных внебюджетных фондов, иныегос.органы в пределах своих полномочий принимают НПА, в которых
определяют УБИ ПДн, актуальные при обработке ПДн в ИСПДн,
эксплуатируемых при осуществлении соответствующих видов деятельности,
с учетом содержания ПДн, характера и способов их обработки
Это НЕ модель угроз!
Проекты этих НПА подлежат согласованию с ФСТЭК России и ФСБ России
Контроль и надзор за соблюдением мер ИБ ПДн в ГИС – на ФСТЭК России и
ФСБ России в пределах их полномочий и без права ознакомления с ПДн,
обрабатываемыми в ИСПДн. (могут быть наделены и не в ГИС)
55.
ФОИВ, РОИВ, БР, органы государственных внебюджетных фондов, иныегос.органы в пределах своих полномочий принимают НПА, в которых
определяют УБИ ПДн, актуальные при обработке ПДн в ИСПДн,
эксплуатируемых при осуществлении соответствующих видов деятельности,
с учетом содержания ПДн, характера и способов их обработки
Это НЕ модель угроз!
Проекты этих НПА подлежат согласованию с ФСТЭК России и ФСБ России
Контроль и надзор за соблюдением мер ИБ ПДн в ГИС – на ФСТЭК России и
ФСБ России в пределах их полномочий и без права ознакомления с ПДн,
обрабатываемыми в ИСПДн. (могут быть наделены и не в ГИС)
56.
Для целей настоящей статьи под УБИ ПДн понимается:совокупность
условий
и
факторов,
создающих
опасность
несанкционированного, в том числе случайного, доступа к ПДн,
результатом которого могут стать уничтожение, изменение, блокирование,
копирование, предоставление, распространение ПДн, а также иные
неправомерные действия при их обработке в ИСПДн.
Под уровнем защищенности ПДн понимается комплексный показатель,
характеризующий
требования,
исполнение
которых
обеспечивает
нейтрализацию определенных УБИ ПДн при их обработке в ИСПДн
57.
Оператор обязан в порядке, определенном ФСБ России, обеспечиватьвзаимодействие
с
ГОССОПКА,
включая
информирование
его
о
компьютерных
инцидентах,
повлекших
неправомерную
передачу
(предоставление, распространение, доступ) ПДн
Информация об инцидентах (за исключением информации, составляющей
ГТ) передается ФСБ России в РКН
(на самом деле может быть наоборот)
Порядок передачи информации об инцидентах устанавливается совместно
ФСБ России и РКН
58.
Оператор обязан:предоставить безвозмездно субъекту ПДн или его представителю
возможность ознакомления с ПДн, относящимися к этому субъекту ПДн
В срок, не превышающий 7 рабочих дней со дня предоставления
субъектом ПДн или его представителем сведений, подтверждающих, что
ПДн являются неполными/неточными/неактуальными, внести в них
необходимые изменения
В срок, не превышающий 7 рабочих дней со дня представления
субъектом ПДн или его представителем сведений, подтверждающих, что
такие ПДн являются незаконно полученными или не являются
необходимыми для заявленной цели обработки, уничтожить такие ПДн
уведомить субъекта ПДн или его представителя о внесенных изменениях
и предпринятых мерах и принять разумные меры для уведомления
третьих лиц, которым ПДн этого субъекта были переданы
сообщить в РКН по его запросу еобходимую информацию в течение 10
рабочих дней с даты получения такого запроса (может быть продлен на
5 дней с уведомлением РКН)
59.
При выявления неправомерной обработки ПДн либо неточных ПДн приобращении субъекта ПДн (представителя) либо по запросу субъекта ПДн
(представителя) либо РКН оператор обязан осуществить блокирование
неправомерно обрабатываемых ПДн или обеспечить их блокирование с момента
такого обращения или получения указанного запроса на период проверки.
Если неточность подтвердится - на основании сведений, представленных
субъектом (представителем) либо РКН, или иных необходимых документов
уточнить ПДн либо обеспечить их уточнение в течение 7 рабочих дней со дня
представления таких сведений и снять блокирование ПДн.
Если неправомерность подтвердится - в срок, не превышающий 3 рабочих дней
с даты этого выявления, обязан прекратить неправомерную обработку ПДн или
обеспечить прекращение неправомерной обработки ПДн
Если обеспечить правомерность невозможно - в течение 10 рабочих дней с даты
выявления уничтожить такие ПДн или обеспечить их уничтожение
Об устранении допущенных нарушений (уничтожении ПДн) оператор обязан
уведомить субъекта ПДн (его представителя), а в случае, если обращение
субъекта ПДн (представителя) либо запрос РКН были направлены РКН – то и его
Если неправомерная обработка ПДн либо неточность ПДн повлекла нарушение
прав субъектов ПДн, оператор обязан с момента выявления такого инцидента
обязан уведомить РКН в течение 24 часов (об инциденте) и 72 часов (о
результатах расследования)
60.
Если цель обработки ПДн достигнута - оператор обязан прекратить обработкуПДн или обеспечить ее прекращение и уничтожить ПДн (обеспечить их
уничтожение) в течение 30 дней с даты достижения цели обработки ПДн (если
иное не предусмотрено договором, соглашением либо в «исключениях»);
После отзыва субъектом ПДн согласия оператор обязан прекратить их обработку
(обеспечить прекращение) и в случае, если сохранение ПДн более не требуется
для целей обработки ПДн, уничтожить ПДн (обеспечить их уничтожение) в
течение 30дней с даты поступления отзыва (если иное не предусмотрено
договором, соглашением либо в «исключениях»)
При обращении субъекта ПДн к оператору с требованием о прекращении
обработки ПДн оператор обязан в течение10 рабочих дней с даты получения
требования прекратить их обработку (обеспечить прекращение) (кроме случаев –
«исключений»). Срок м.б. продлен, но не более чем на 5 рабочих дней в случае
направления оператором в адрес субъекта ПДн мотивированного уведомления
При невозможности уничтожения ПДн в нужные сроки оператор осуществляет
(обеспечивает) блокирование ПДн и обеспечивает их уничтожение в течение 6
месяцев, если иной срок не установлен федеральными законами
Подтверждение уничтожения ПДн – в соответстии с требованиями РКН!
61.
Оператор до начала обработки ПДн обязан уведомить РКН о своем намеренииосуществлять обработку ПДн, за исключением случаев:
ПДн включены в ГИС ПДн, созданные в целях защиты безопасности
государства и общественного порядка;
оператор осуществляет деятельность по обработке ПДн исключительно без
использования средств автоматизации;
ПДн обрабатываются в случаях, предусмотренных зак-вом РФ о транспортной
безопасности,
в
целях
обеспечения
устойчивого
и
безопасного
функционирования транспортного комплекса, защиты интересов личности,
общества и государства в сфере транспортного комплекса от актов
незаконного вмешательства.
Уведомление направляется в виде документа на бумажном носителе или в форме
электронного документа и подписывается уполномоченным лицом. Есть
требования к содержанию – ч.7 ст.22 152-ФЗ. Сведения из уведомления РКН
вносит в реестр операторов ПДн.
При изменении сведений оператор не позднее 15-го числа месяца, следующего
за месяцем, в котором возникли такие изменения, обязан уведомить РКН
После прекращения обработки ПДн – в течение 10 рабочих дней уведомить РКН
62.
Оператор (ЮЛ) назначает лицо, отв. за организацию обработки ПДн.Ответственное
лицо
получает
указания
непосредственно
от
исполнительного органа оператора, подотчетно ему и в частности обязано:
осуществлять внутренний контроль за соблюдением оператором и его
работниками зак-ва РФ о ПДн, в т.ч. требований к защите ПДн;
доводить до сведения работников оператора положения зак-ва РФ о
ПДн, лНПА, требований к ЗПДн;
организовывать прием и обработку обращений и запросов субъектов
ПДн или их представителей и (или) осуществлять контроль за приемом и
обработкой таких обращений и запросов.
63.
Лица,виновные
в
нарушении
требований
предусмотренную зак-вом РФ ответственность
152-ФЗ,
несут
Моральный вред, причиненный субъекту ПДн вследствие нарушения его
прав, нарушения правил обработки ПДн, установленных 152-ФЗ, а
также требований к ЗПДн, подлежит возмещению в соответствии с зак-вом
РФ. Возмещение морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных субъектом ПДн убытков