Обзор законодательной базы в области обработки и защиты

персональных данных

1. Нормативно-правовые документы.

Конституция РФ, Законы, Указы, Постановления

2. Специальные нормативные документы гос. регуляторов.

Руководства, Приказы, Положения, Методики, Нормы

3. Документы министерств, ведомств, субъектов РФ.

Руководства, Приказы, Концепции, Положения, Стандарты

4. Собственные документы организации.

Положения, Руководства, Приказы, Инструкции, Акты и др. 2

Структура НПБ

Основные законы1. Конституция Российской Федерации, от 12.12.1993 (с поправками от 30

декабря 2008 г.).2. Конвенция Совета Европы «О защите физических лиц при

автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing ETS 108) Страсбург, 28 января 1981 года. Подписана Россией 7 ноября 2001 г.

3. Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».

4. Федеральный закон от 27.07.2006 г. № 152-ФЗ«О персональных данных» (с изменениями и дополнениями).

5. Гражданский кодекс Российской Федерации. Часть первая от 30.11.94 г. № 51-ФЗ. Часть вторая от 26.01.96 г. № 14-ФЗ. Часть третья от 26.11.2001 г. № 146-ФЗ. Часть четвертая от 18.12.2006 г. № 230-ФЗ (с изменениями и дополнениями)

6. Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (ТК РФ) (с изменениями и дополнениями)

3

Основные законы

7. Федеральный закон от 27.07.2006 г. № 149-ФЗ«Об информации, информационных технологиях и о защите информации».

8. Уголовный кодекс Российской Федерации от 13.06.1996 г. № 63-ФЗ (УК РФ) (с изменениями и дополнениями).

9. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (КоАП РФ) (с изменениями и дополнениями).

… и другие Законы РФ, регламентирующие особенности обработки персональных данных, права субъектов и операторов персональных данных.

4

Постановления Правительства РФ

1. Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

5

1. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»

Постановления Правительства РФ

1. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

2. Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

3. Постановление Правительства РФ от 21.03.2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О перс. данных" и принятыми в соответствии с ним НПА, операторами, являющимися государственными или муниципальными органами»

6

Регуляторы – гос. органы, регулирующие вопросы обработки и защиты персональных данных в пределах своих полномочий

Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.ФСТЭК – Федеральная служба по техническому и экспортному контролю.ФСБ – Федеральная служба безопасности.

7

Приказ ФСТЭК, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Государственные регуляторы

Содержание основных положений Федерального закона

«О персональных данных»

Общие положенияЗакон регулирует отношения связанные с обработкой персональных данных,

осуществляемой:федеральными органами государственной власти, органами государственной власти субъектов РФ,иными государственными органами,муниципальными органами,юридическими лицами, физическими лицами

с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с использованием средств автоматизации, то есть позволяет осуществлять поиск персональных данных, зафиксированных на материальном носителе и (или) доступ к таким персональным данным.

Цель принятия закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Термины и определенияПерсональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъект персональных данных), в том числе:• Фамилия• Имя• Отчество• Дата и место рождения• Адрес• Семейное, социальное, имущественное положения• Образование• Профессия• ДоходДругая информация?

Основные понятия

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн;

Основные понятия

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения ПДн);

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или юридическому лицу.

Основные понятия

Муниципальные органы

Физические лицаГосударственные органы

Юридические лица

Зарегистрированные операторы

Принципы обработки ПДн

Обеспечение конфиденциальности не

требуется

Согласие субъекта на обработку

Содержания письменного согласия

Условия обработки специальных категорий ПДн

Специальные категории персональных данных

Биометрические персональные данные

Особенности обработки персональных данных

Предоставления оператором ПДн

Права субъектов ПДн

Обязанности оператора

Меры по обеспечению безопасности персональных данных при их обработке

Безопасность ПДн обеспечивается:

1) определением угроз безопасности персональных данных при их обработке в ИСПДн;

2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода ИСПДн в эксплуатацию;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

7) восстановлением ПДн, модифицированных или уничтоженных вследствие НСД;

Меры по обеспечению безопасности персональных данных при их обработке

Правительство РФ с учетом:- возможного вреда субъекту ПДн, - объема и содержания ПДн, - вида деятельности, при котором обрабатываются ПДн, - актуальности угроз безопасности ПДн, устанавливает:

1. Уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных.

2. Требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн.

3. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

ПП1119 2012г

ПП №1119

ПП №512

Ответственность

• Уголовная

• Административная

• Гражданско-правовая

Ст. 137, 140, 171, 183, 272 УК РФ

Ст. 5.39+3.12, 13.11, 13.12, 13.14 КоАП РФ Ст. 19.5 КоАП РФ Ст. 19.7 КоАП РФ

Иски со стороны работников

Санкции УК РФ

Ст. 137 УК РФ «Нарушение неприкосновенности частной жизни» До 4

лет лишения свободы.

Ст. 140 УК РФ «Отказ в предоставлении гражданину информации»

Штраф – ЗП за 18 мес. или лишение права занимать определенные

должности

Ст. 171 УК РФ «Незаконное предпринимательство». До 5 лет лишения

свободы со штрафом.

Ст. 183 УК РФ «Незаконное получение и разглашение сведений,

составляющих коммерческую, налоговую или банковскую тайну». До 10

лет лишения свободы.

Ст. 272 «Неправомерный доступ к компьютерной информации». До 5 лет

лишения свободы

Санкции КоАП РФ

Ст. 5.39 КоАП РФ «Отказ в предоставлении гражданину информации»

Штраф – до 3000 руб. + ст. 3.12 КоАП РФ «Административное

приостановление деятельности»

Ст. 13.11 КоАП РФ «Нарушение установленного законом сбора,

хранения, использования или распространения информации о гражданах

(персональных данных)» Штраф – до 10000 руб.

Ст. 13.14 КоАП РФ «Разглашение информации с ограниченным

доступом» - Штраф – до 5000 руб.

Ст. 19.5 «Невыполнение предписания» - Штраф – до 20000 руб.

Ст. 19.7 «Не предоставление сведений (информации) по запросу» (гос.

органа) - Штраф – до 5000 руб.

Обязательные работы выполнение осужденным в свободное от основной работы или учебы время бесплатных общественно полезных работ. Вид обязательных работ и объекты, на которых они отбываются, определяются органами местного самоуправления по согласованию с уголовно исполнительными инспекциями.Исправительные работы назначаются осужденному, не имеющему основного места работы, и отбываются в местах, определяемых органом местного самоуправления по согласованию с органом, исполняющим наказания в виде исправительных работ, но в районе места жительства осужденного.Ограничения свободы заключается в содержании осужденного, достигшего к моменту вынесения судом приговора восемнадцатилетнего возраста, в специальном учреждении без изоляции от общества в условиях осуществления за ним надзора.Арест заключается в содержании осужденного в условиях строгой изоляции от общества и устанавливается на срок от одного до шести месяцев. В случае замены обязательных работ или исправительных работ арестом он может быть назначен на срок менее одного месяца.Лишения свободы заключается в изоляции осужденного от общества путем направления его в колонию – поселение, помещения в воспитательную колонию, лечебное исправительное учреждение, исправительную колонию общего, строгого или особого режима либо в тюрьму.

Понятия, цели и виды наказаний.

Спасибо за внимание

По вопросам обращаться: Начальник отдела по защите информации, Платонов Евгений Леонидович (4242) 28-67-18, (4242) 50-54-12