3.10M
Категория: ПравоПраво

[email protected]_2024-07-04_18-54-01

1.

Тема 5.1 Основы организации и ведения
работ по обеспечению безопасности
персональных данных
Удалова Людмила
Владимировна

2.

Введение. Основные понятия о
персональных данных
Удалова Людмила
Владимировна

3.

Правовое регулирование отношений , связанных с обработкой и
защитой персональных данных
1.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных данных» (ред.от
06.02.2023)
2.
Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к
защите персональных данных при их обработке в информационных системах персональных данных»
3.
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об
особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации»
4.
Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер,
направленных на обеспечение выполнения обязанностей предусмотренных ФЗ «О персональных
данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами»
5.
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) РФ от 18
февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах
персональных данных»
6.
Методические рекомендации по применению приказа Федеральной службы по надзору в сфере
связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 05 сентября
2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

4.

Основные понятия о персональных данных
Персональные данные - это любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу
(субъекту персональных данных) (ст. 3 ФЗ «О персональных данных»)
ФИО,
возраст,
дата рождения,
адес проживания,
образование,
доходы и расходы,
паспортные данные и т.д.
НО! Это не просто ФИО или адрес, а совокупность данных, позволяющих
идентифицировать конкретного человека, как конкретную личность, т.е.
персонифицировать.

5.

оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие:
• цели обработки персональных данных,
• состав персональных данных, подлежащих обработке,
• действия (операции), совершаемые с персональными данными.
обработка персональных данных - любое действие (операция) или совокупность
действий(операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая:
• сбор,
• запись,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передачу (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение персональных данных.

6.

автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
Обработка персональных данных, содержащихся в информационной системе
персональных данных либо извлеченных из такой системы (далее - персональные данные),
считается осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных данных в
отношении каждого из субъектов персональных данных, осуществляются при
непосредственном участии человека (ПП от 15.09.2008 № 687);
информационная система персональных данных - совокупность содержащихся
в базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств, в том числе созданных и функционирующих в рамках
реализации федеральных целевых программ;
предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;

7.

блокирование персональных данных - временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения
персональных данных);
уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных;
обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
трансграничная передача персональных данных - передача персональных
данных на территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.

8.

Категории персональных данных
1. Иные персональные данные - фамилия, имя отчество, год и место рождения,
адрес, абонентский номер, электронная почта, сведения о профессии, об образовании,
доходы, расходы и др.
В соответствии с Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных» выделяются
– Иные - ПДн относящиеся к прямо или косвенно определенному или определяемому
физическому лицу, и не относящиеся к вышеперечисленным
– Общедоступные - ПДн, полученные из общедоступных источников, в которых данные
были опубликованы с письменного согласия СПДн или лично им.
2. Специальные персональные данные - касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских убеждений,
состояния здоровья, интимной жизни.
3. Биометрические персональные данные - сведения, которые характеризуют
физиологические и биологические особенности человека, на основании которых можно
установить его личность (отпечатки папиллярных линий на коже пальцев рук, рисунок
радужной оболочки глаз, ДНК).

9.

Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливо
основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их
обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных
данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям
обработки персональных данных. Оператор должен принимать необходимые меры либо
обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели
обработки персональных данных, если срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных. Обрабатываемые
персональные данные подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении этих целей, если иное не
предусмотрено федеральным законом.

10.

Условия обработки персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не
раскрывать третьим лицам и не распространять персональные данные без согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом.
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил,
предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в
следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на
обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных
международным договором Российской Федерации или законом, для осуществления и выполнения
возложенных законодательством Российской Федерации на оператора функций, полномочий и
обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном,
гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных
судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа
или должностного лица, подлежащих исполнению в соответствии с законодательством Российской
Федерации об исполнительном производстве (далее - исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов
исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов
государственной власти субъектов Российской Федерации, органов местного самоуправления и
функций организаций, участвующих в предоставлении соответственно государственных и
муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об
организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта
персональных данных на едином портале государственных и муниципальных услуг и (или)
региональных порталах государственных и муниципальных услуг;

11.

Условия обработки персональных данных
5) обработка персональных данных необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект персональных данных, а также
для заключения договора по инициативе субъекта персональных данных или договора, по которому
субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый
с субъектом персональных данных договор не может содержать положения, ограничивающие права и
свободы субъекта персональных данных, устанавливающие случаи обработки персональных данны
несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также
положения, допускающие в качестве условия заключения договора бездействие субъекта
персональных данных;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно
важных интересов субъекта персональных данных, если получение согласия субъекта персональных
данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов
оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите
прав и законных интересов физических лиц при осуществлении деятельности по возврату
просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой
деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей
при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности
журналиста и (или) законной деятельности средства массовой информации либо научной,
литературной или иной творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских
целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии
обязательного обезличивания персональных данных;

12.

Спасибо за внимание!
Удалова Людмила
Владимировна
English     Русский Правила