Похожие презентации:
Государственный контроль (надзор) за соответствием обработки персональных данных
1. Государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных
данныхОсуществляется
Роскомнадзором
в
соответствии
с
административным
регламентом, утв. Приказом Минкомсвязи
России от 14.11.2011г. № 312.
1
2. Предмет государственного контроля (надзора)
• Документы, характер информации в которыхпредполагает или допускает включение в них
персональных данных.
• Информационные системы персональных
данных.
• Деятельность по обработке персональных
данных.
2
3. План проведения плановых проверок
• План проведения плановых проверок пособлюдению
операторами
обязательных
требований в области персональных данных
отражается
в
плане
деятельности
Управления Роскомнадзора по Воронежской
области на год, утверждается приказом
руководителя
и
размещается
на
официальном интернет – сайте Управления
http://36.rkn.gov.ru
3
4.
Типовые нарушения Федеральногозакона «О персональных данных»,
выявленные
в
ходе
проверок
операторов:
4
5. Классификация нарушений
Состав нарушенияПравовое основание
Непредставление и (или)
несвоевременное
представление
уведомления по обработке
персональных данных при
осуществлении
деятельности по обработке
персональных данных, не
попадающей под
исключения ч. 2 ст. 22
Федерального закона "О
персональных данных"
ч. 1 ст. 22 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"
6.
В Реестре операторов, осуществляющих обработкуперсональных
данных
зарегистрировано
99%
организаций социальной сфере г. Воронежа и
Воронежской области
Организациям (Операторам), которые не включены в
Реестр операторов, осуществляющих обработку
персональных данных, необходимо представить в
Управление Роскомнадзора по Воронежской области
уведомление
об
обработке
(о
намерении
осуществлять обработку) персональных данных в
целях недопущения нарушения ч. 1 ст. 22
Федерального закона от 27.07.2006 г. № 152-ФЗ "О
персональных данных"
7.
Состав нарушенияПравовое основание
Непредставление в
Уполномоченный орган
сведений о прекращении
обработки персональных
данных или об изменении
информации,
содержащейся в
уведомлении об обработке
персональных данных
ч. 7 ст. 22 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"
8. Федеральным законом от 21.07.2014 г. №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения поря
Федеральным законом от 21.07.2014 г. №242-ФЗ «Овнесении изменений в отдельные законодательные
акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационнотелекоммуникационных сетях», вступившим в силу
01.09.2015 г. внесены изменения в ч. 3 ст. 22
Федерального закона от 27.07.2006 г. №152-ФЗ «О
персональных данных», а именно дополнительно
включен п. 10.1 – сведения о месте нахождения базы
данных информации, содержащей персональные
данные
граждан
РФ
в целях недопущения нарушения
требований
ч.7
ст.22
Операторам
необходимо
представить
в
Управление
Роскомнадзора
по
Воронежской области сведения о месте нахождении
баз данных
9.
Состав нарушенияПравовое основание
Непринятие оператором
мер по опубликованию или
обеспечению
неограниченного доступа к
документу,
определяющему его
политику в отношении
обработки персональных
данных, к сведениям о
реализуемых требованиях
к защите персональных
данных
ч. 2 ст.18.1 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"
10.
На официальном сайте оператора персональных данных или настенде в общедоступном месте необходимо разместить
локальный акт, определяющий порядок обработки персональных
данных (Положение об обработке персональных данных);
Если оператор осуществляет сбор персональных данных
с
использованием информационно-телекоммуникационных сетей
(например на сайте имеется электронная форма заявления),
оператор обязан разместить локальный акт, определяющий
порядок
обработки
персональных
данных
на
своем
официальном сайте официальном сайте
11. Например
12. Например
13.
Состав нарушенияПравовое основание
Непредставление в
уполномоченный орган
операторами, которые
осуществляли обработку
персональных данных до 1
июля 2011 года, изменений
информации,
содержащейся в
уведомлении об обработке
персональных данных, не
позднее 1 января 2013
года
ч. 2.1 ст.25 Федерального
закона от 27.07.2006 г.
№152-ФЗ "О персональных
данных"
14.
Операторам (Организациям), включенным в РеестрОператоров персональных данных до 1 июля 2011
года необходимо представить в Управление
Роскомнадзора
по
Воронежской
области
информационное письмо о внесении изменений в
целях недопущения нарушения
ч. 2.1 ст. 25
Федерального закона от 27.07.2006 г. № 152-ФЗ "О
персональных данных"
15.
Состав нарушенияПравовое основание
Отсутствие в поручении
лицу, которому оператором
поручается обработка
персональных данных,
обязанности соблюдения
конфиденциальности
персональных данных и
обеспечения их
безопасности, а так же
требований к защите
обрабатываемых
персональных данных
ч. 3 ст. 6 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"
16.
Вслучае, если Оператор поручает обработку
персональных данных третьему лицу (например
заключает договор на выпуск и обслуживание
банковских карт сотрудников организации), договор,
заключенный между Оператором и Банком должен
содержать обязательные условия, указанные в ч. 3
ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ
"О персональных данных"
17.
Состав нарушенияПравовое основание
Несоответствие типовых
форм документов,
характер информации в
которых предполагает или
допускает включение в них
персональных данных,
требованиям
законодательства
Российской Федерации
п. 7 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"
18.
В случае, если Оператор персональных данных самостоятельно разрабатываеттиповые формы документов (например анкета кандидата на вакантные должности,
журнал личного приема руководителя), которые предполагают внесение в них
персональных данных, ему в соответствии с требованиями п. 7, указанного
постановления, необходимо разработать документ в котором Оператор должен
определить: цели обработки персональных данных, источник получения
персональных данных, перечень действий с персональными данными и т.д.
19.
Состав нарушенияПравовое основание
Несоответствие
содержания письменного
согласия субъекта
персональных данных на
обработку персональных
данных требованиям
законодательства
Российской Федерации
ч. 4 ст. 9 Федерального
закона от 27.07.2006 г. №
152-ФЗ "О персональных
данных"
20. В случае, если обработка персональных данных допустима только с согласия субъекта персональных данных, Оператор до начала обработки персо
В случае, если обработка персональных данныхдопустима только с согласия субъекта персональных
данных, Оператор до начала обработки персональных
данных обязан взять у субъекта персональных данных
согласие, которое должно содержать: Ф.И.О. субъекта,
адрес, номер основного документа, удостоверяющего
его личность, сведения о дате выдачи указанного
документа и выдававшем его органе, цель обработки
персональных данных, сведения об Операторе
персональных данных, срок в течение которого
действует согласие и т.д.
21.
Состав нарушенияПравовое основание
Отсутствие у оператора
места (мест) хранения
персональных данных
(материальных носителей),
перечня лиц,
осуществляющих
обработку персональных
данных либо имеющих к
ним доступ
п. 13 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"
22.
Состав нарушенияПравовое основание
Несоблюдение оператором
установленных требований
при ведении журналов
(реестров, книг),
содержащих персональные
данные, необходимые для
однократного пропуска
субъекта персональных
данных на территорию, на
которой находится
оператор, или в иных
аналогичных целях
п. 8 постановления
Правительства Российской
Федерации от 15 сентября
2008 г. № 687 "Об
утверждении Положения
об особенностях обработки
персональных данных,
осуществляемой без
использования средств
автоматизации"
23. Административная ответственность за нарушения в сфере обработки персональных данных
• Статья 13.11 Нарушение установленного закономпорядка
сбора,
хранения,
использования
или
распространения
информации
о
гражданах
(персональных данных) Нарушение порядка сбора,
хранения,
использования
или
распространения
информации о гражданах (персональных данных) –
предупреждение или штраф на долж.л. – от 500 до
1000руб.; на юр.л. - от 5000 до 10000руб.
23
24. Административная ответственность за непредставление сведений (уведомления, информационного письма)
• Статья 19.7 Непредставление и (или) несвоевременноепредставление сведений, представление которых
предусмотрено Законом – предупреждение или
наложение административного штрафа на граждан в
размере от 100 до 300 рублей; на должностных лиц - от
300 до 500 рублей; на юридических лиц - от 3 тысяч до
5 тысяч рублей
24
25. Административная ответственность за невыполнение предписания(уведомления, информационного письма)
• Статья 19.5 Невыполнение в установленный срокзаконного предписания об устранении нарушений
законодательства в области персональных данных –
влечет наложение штрафа на граждан в размере от
300 до 500 рублей; на должностных лиц - от 1 тысячи
до 2 тысяч рублей или дисквалификацию на срок до
трех лет; на юридических лиц - от 10 тысяч до 20 тысяч
рублей.
25