Законодательные основы проведения проверки...
-
Upload
dieter-chang -
Category
Documents
-
view
52 -
download
0
description
Transcript of Законодательные основы проведения проверки...
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных.
Обзор административных мер и локальных актов, регулирующих обработку и защиту персональных
данных в компании.
2
Законодательные основы проведения проверки Роскомнадзора
Правовыми основаниями проверки являются: Трудовой кодекс РФ (Глава 14); Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических
лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
Федеральный закон от 27.07.2006 3152-ФЗ «О персональных данных»; Постановление Правительства РФ от 06.07.08 №512 «Об утверждении
требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 15.09.08 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 17.11.07 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России, ФСБ России, Минсвязи России №55/86/20 от 13.02.08 «Об утверждении порядка проведения классификации информационных системах персональных данных».
3
Законодательные основы проведения проверки Роскомнадзора
Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»:
Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В
исключительных случаях может быть пролонгирован еще на 20 рабочих дней.
Акт проверки оформляется непосредственно после ее завершения в двух экземплярах.
Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.09 №141).
Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.
4
Основные мероприятия Оператора ПД
К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся:
Анализ персональных данных, обрабатываемых Оператором.
Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных.
Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового.
Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).
5
Основные мероприятия Оператора ПД
Проверка обработки ПД без использования средств автоматизации.
Положение об обработке ПД без использования средств автоматизации должно предусматривать:
перечень обрабатываемых ПД; отдельные материальные носители для каждой категории ПД; ознакомление с ним сотрудников Оператора; порядок уничтожения или обезличивания ПД; организацию раздельного хранения ПД различных категорий; при необходимости правила ведения журнала для пропуска
субъекта ПД на территорию Оператора.
6
Основные мероприятия Оператора ПД
Проверка соблюдения требований при обработке ПД работников Оператора.
Положение об обработке ПД работников должно включать в себя:
перечень обрабатываемых ПД работников; необходимость ознакомления с ним работников
Оператора; перечень случаев получения письменного согласия от
работника; порядок хранения и использования ПД работника; соблюдение требований при передаче ПД работника.
7
Основные мероприятия Оператора ПД
Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя:
утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД;
наличие перечня лиц, имеющих допуск в помещение;
наличие и порядок обмена ПД при их обработке в ИСПДн;
включение в договор условия о конфиденциальности ПД;
наличие электронного журнала обращений на получение ПД;
наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.
8
Основные мероприятия Оператора ПД
Проверка наличия трансграничной передачи ПД.
В случае ее осуществления принимаются следующие меры:
Выявляются иностранные государства, на территорию которых передаются ПД;
Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы:
- письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.
9
Основные мероприятия Оператора ПД
Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя:
выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).
10
Основные мероприятия Оператора ПД
Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя:
перечень документов и их сроки хранения; порядок уничтожения документов; утвержденный состав органа, в полномочия которого
входит уничтожение документов.
11
Примерный перечень документов, касающихся обработки ПД
К документам, регулирующим или касающимся обработки персональных данных относятся:
- Положение об обработке ПД работников;
- Положение о неавтоматизированной обработке ПД;
- Утвержденный перечень лиц, обрабатывающих ПД;
- Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку;
- Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;
12
Примерный перечень документов, касающихся обработки ПД
- Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении;
- Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД;
- Положение о порядке работы с документами, содержащими конфиденциальную информацию;
- Журнал для пропуска субъекта ПД на территорию Компании;
- Акт классификации информационных систем ПД (ИСПДн);
- Приказ о назначении комиссии по классификации ИСПДн;
- Перечень технических средств, участвующих в обработке ПД.
13
ЗАКЛЮЧЕНИЕ
СПАСИБО ЗА ВНИМАНИЕ!!!
Презентацию для Вас подготовила:
Долганова Наталья Станиславовна — старший юрисконсульт ООО «Управляющая компания «КапиталЪ»
(495)777-01-70 (доб. 2422) [email protected]