1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об
ОПЕРАТОР государственный орган, муниципальный орган, юридическое или физическое лицо самостоятельно или совместно с другими
Pd.rkn.gov.ru Консультации по телефону: 258-15-37 (доб. 534)
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
Согласие субъекта на обработку его персональных данных
Случаи, при наступлении которых допускается обработка персональных данных (включая предоставление, раскрытие) без согласия
В соответствии с ч. 3 ст. 6 ФЗ «О персональных данных» Оператор вправе поручить обработку персональных данных другому лицу с
В соответствии со ст. 7 ФЗ «О персональных данных» Операторы и иные лица, получившие доступ к персональным данным, обязаны не
Виды проверок
- Обработка персональных данных без уведомления уполномоченного органа. - Обработка персональных данных без согласия субъекта
1.75M
Категория: ПравоПраво

Вопросы защиты персональных данных, ответственность за нарушения требований законодательства

1.

Управление Роскомнадзора
по Пермскому краю
«Практика применения Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных».
Вопросы защиты персональных данных, ответственность
за нарушения требований законодательства».
Пермь, 2018

2. 1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об

Управление Роскомнадзора
по Пермскому краю
Перечень основополагающих нормативных правовых актов
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
3. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации»;
4. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных».
5. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня
мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом «О персональных данных» и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися государственными или
муниципальными органами».

3. ОПЕРАТОР государственный орган, муниципальный орган, юридическое или физическое лицо самостоятельно или совместно с другими

Управление Роскомнадзора
по Пермскому краю
ОПЕРАТОР
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
государственный орган, муниципальный орган,
юридическое или физическое лицо
любая информация
относящаяся прямо или косвенно
к определенному или определяемому
физическому лицу
самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие
обработку персональных данных
определяющие: цели обработки персональных
данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с
персональными данными

4.

Управление Роскомнадзора
по Пермскому краю

5.

Управление Роскомнадзора
по Пермскому краю

6.

Управление Роскомнадзора
по Пермскому краю

7. Pd.rkn.gov.ru Консультации по телефону: 258-15-37 (доб. 534)

Управление Роскомнадзора
по Пермскому краю
Уполномоченный орган по защите прав субъектов персональных
данных введет реестр операторов
Оператор обязан уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять
обработку персональных данных (ст. 22 ФЗ «О персональных данных»)
Pd.rkn.gov.ru
Консультации по телефону: 258-15-37 (доб. 534)

8.

Управление Роскомнадзора
по Пермскому краю
1. Назначить ответственного за организацию
обработки персональных данных.
2. Разработать документы,
определяющие политику в отношении
обработки ПД, локальные акты по
вопросам обработки ПД.
3. Ознакомить работников с положениями
законодательства о персональных данных,
с локальными актами оператора

9.

Управление Роскомнадзора
по Пермскому краю
4. Уведомить Роскомнадзор о своем намерении
осуществлять обработку персональных данных.
5. Осуществлять внутренний контроль и (или) аудит
соответствия обработки персональных данных настоящему
Федеральному закону и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите
персональных данных, политике оператора в отношении
обработки персональных данных, локальным актам
оператора.

10. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации

Управление Роскомнадзора
по Пермскому краю
6. Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения
персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
Меры по обеспечению безопасности персональных данных
при их обработке, осуществляемой без использования
средств автоматизации указаны в
Постановлении Правительства РФ от 15.09.2008 № 687.

11. Согласие субъекта на обработку его персональных данных

Управление Роскомнадзора
по Пермскому краю
Согласие субъекта на обработку его персональных данных
1)
2)
3)
4)
5)
В письменной форме,
при этом форма должна соответствовать
ч. 4 ст. 9 ФЗ «О персональных данных»,
которая предусматривает 5 случаев:
Трансграничная передача ПД
Биометрические ПД
Специальные категории ПД
Общедоступные источники
Ведение личного дела гражданского
служащего
В любой доступной
форме, позволяющей
подтвердить факт его
получения

12. Случаи, при наступлении которых допускается обработка персональных данных (включая предоставление, раскрытие) без согласия

Управление Роскомнадзора
по Пермскому краю
Случаи, при наступлении которых допускается обработка
персональных данных (включая предоставление, раскрытие) без
согласия субъектов персональных данных, установлены п.п. 2-11
ч. 1 ст. 6 ФЗ «О персональных данных»).

13. В соответствии с ч. 3 ст. 6 ФЗ «О персональных данных» Оператор вправе поручить обработку персональных данных другому лицу с

Управление Роскомнадзора
по Пермскому краю
В соответствии с ч. 3 ст. 6 ФЗ «О персональных данных»
Оператор вправе поручить обработку персональных данных другому лицу с
согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом.
В поручении оператора должны быть определены перечень действий
(операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, и цели обработки,
должна быть установлена обязанность такого лица
соблюдать конфиденциальность
персональных данных

14. В соответствии со ст. 7 ФЗ «О персональных данных» Операторы и иные лица, получившие доступ к персональным данным, обязаны не

Управление Роскомнадзора
по Пермскому краю
В соответствии со ст. 7 ФЗ «О персональных данных»
Операторы и иные лица, получившие доступ к персональным
данным, обязаны не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных,
если иное не предусмотрено федеральным законом.
С согласия субъекта
Предусмотрено
федеральным законом

15. Виды проверок

Управление Роскомнадзора
по Пермскому краю
Виды проверок
Плановые
(не чаще 1 раза в 3 года)
Внеплановые
(по требованию прокуратуры)
При планировании применяется риск-ориентированный подход
Выбор интенсивности (формы, продолжительности,
периодичности) проведения мероприятий по контролю,
мероприятий по профилактике нарушения обязательных
требований определяется отнесением деятельности
юридического лица к определенной категории риска, либо
определенному классу (категории) опасности.

16. - Обработка персональных данных без уведомления уполномоченного органа. - Обработка персональных данных без согласия субъекта

Управление Роскомнадзора
по Пермскому краю
Наиболее характерные нарушения
- Обработка персональных данных без уведомления уполномоченного органа.
- Обработка персональных данных без согласия субъекта персональных данных.
- Нарушение требований конфиденциальности.
- Отсутствие у оператора места (мест) хранения персональных данных (материальных
носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к
ним доступ.
- Отсутствие в поручении лицу, ответственному за обработку персональных данных,
обязанности соблюдения конфиденциальности персональных данных и обеспечения их
безопасности, а также требований к защите обрабатываемых персональных данных.

17.

Управление Роскомнадзора
по Пермскому краю
Новая редакция ст. 13.11 КоАП РФ.
С 1 июля 2017 конкретизируется административная
ответственность за нарушения в сфере обработки
персональных данных.
Появятся 7 самостоятельных составов
правонарушений, и по некоторым увеличатся
административные штрафы.

18.

Вид правонарушения
Санкция для
должностных лиц
Санкция для
организаций
Правовое
основание
Обработка персональных данных: – в случаях, не
установленных законом; – несовместимая с
целями сбора персональных данных
Предупреждение или штраф
от 5 000 до 10 000 рублей
Предупреждение или
штраф от 30 000 до 50
000 рублей
Ч. 1 ст. 13.11 КоАП РФ
Обработка персональных данных без
письменного согласия работника, когда оно
должно быть получено в обязательном порядке
либо отсутствие в согласии необходимых
сведений
Штраф от 10 000 до 20 000
тысяч рублей
Штраф от 15 000 до
75 000 тысяч рублей
Ч. 2 ст. 13.11 КоАП РФ
Невыполнение обязанности опубликовать или
обеспечить иным образом неограниченный
доступ к документу, который определяет
политику компании в области обработки
персональных данных
Предупреждение или штраф
от 3000 до 6000 рублей
Предупреждение или
штраф от 15 000 до 30
000 рублей
Ч. 3 ст. 13.11 КоАП РФ
Непредоставление работнику информации,
которая затрагивает обработку его персональных
данных
Предупреждение или штраф
от 4000 до 6000 рублей
Предупреждение или
штраф от 20 000 до 40
000 рублей
Ч. 4 ст. 13.11 КоАП РФ

19.

Вид правонарушения
Санкция для
должностных лиц
Санкция для
организаций
Правовое
основание
Невыполнение требования работника либо
управления Роскомнадзора об уточнении
персональных данных, их блокировании или
уничтожении в случае, когда данные являются
неполными, устаревшими, неточными,
незаконно полученными или не требующимися
для заявленной цели обработки
Предупреждение или
штраф от 4000 до 10 000
рублей
Предупреждение или
штраф от 20 000 до 45
000 тысяч рублей
Ч. 5 ст. 13.11 КоАП РФ
Необеспечение сохранности персональных
данных при хранении материальных носителей
персональных данных, если это повлекло
неправомерный или случайный доступ к
данным, их уничтожение, изменение,
блокирование, копирование, предоставление,
распространение либо другие неправомерные
действия
от 4000 до 10 000 рублей
от 20 000 до 50 000
тысяч рублей
Ч. 6 ст. 13.11 КоАП РФ
Невыполнение обязанности по обезличиванию
персональных данных или несоблюдение
установленных требований или методов по
обезличиванию таких данных (для
государственных и муниципальных органов)
Предупреждение или
штраф от 3000 до 6000
рублей

Ч. 7 ст. 13.11 КоАП РФ

20.

Управление Роскомнадзора
по Пермскому краю
Телефоны для консультаций:
258-15-37
258-15-35
Благодарю за внимание!
English     Русский Правила