Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных.

Обзор административных мер и локальных  актов, регулирующих обработку и защиту персональных

данных в компании.

2

Законодательные основы проведения проверки Роскомнадзора

Правовыми основаниями проверки являются: Трудовой кодекс РФ (Глава 14); Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических

лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;

Федеральный закон от 27.07.2006 3152-ФЗ «О персональных данных»; Постановление Правительства РФ от 06.07.08 №512 «Об утверждении

требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

Постановление Правительства РФ от 15.09.08 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства РФ от 17.11.07 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ ФСТЭК России, ФСБ России, Минсвязи России №55/86/20 от 13.02.08 «Об утверждении порядка проведения классификации информационных системах персональных данных».

3

Законодательные основы проведения проверки Роскомнадзора

Федеральный закон от 26.12.08 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»:

Вступил в силу с 1 мая 2009 года. Срок проведения проверки 20 рабочих дней. В

исключительных случаях может быть пролонгирован еще на 20 рабочих дней.

Акт проверки оформляется непосредственно после ее завершения в двух экземплярах.

Юридические лица обязаны вести Журнал учета проверок!!!! (по типовой форме, утвержденной Приказом Минэкономразвития РФ от 30.04.09 №141).

Возражения на Акт проверки и предписание об устранении нарушений могут быть заявлены в течение 15 дней с даты получения.

4

Основные мероприятия Оператора ПД

К основным мероприятиям по приведению деятельности Оператора ПД в соответствие с законодательством о персональных данных относятся:

Анализ персональных данных, обрабатываемых Оператором.

Подготовка уведомления об обработке персональных данных. Внесение изменений в реестр операторов данных.

Проверка наличия в договорах, заключенных Оператором и Субъектом ПД, условия, безусловно подтверждающего согласие Субъекта ПД на обработку ПД или законного основания отсутствия такового.

Проверка наличия договоров оператора с третьими лицами на обработку персональных данных (например, договор аренды, договор ОМС/ДМС, договор на открытие расчетного счета доверительного управляющего, договор со специализированным депозитарием).

5

Основные мероприятия Оператора ПД

Проверка обработки ПД без использования средств автоматизации.

Положение об обработке ПД без использования средств автоматизации должно предусматривать:

перечень обрабатываемых ПД; отдельные материальные носители для каждой категории ПД; ознакомление с ним сотрудников Оператора; порядок уничтожения или обезличивания ПД; организацию раздельного хранения ПД различных категорий; при необходимости правила ведения журнала для пропуска

субъекта ПД на территорию Оператора.

6

Основные мероприятия Оператора ПД

Проверка соблюдения требований при обработке ПД работников Оператора.

Положение об обработке ПД работников должно включать в себя:

перечень обрабатываемых ПД работников; необходимость ознакомления с ним работников

Оператора; перечень случаев получения письменного согласия от

работника; порядок хранения и использования ПД работника; соблюдение требований при передаче ПД работника.

7

Основные мероприятия Оператора ПД

Выполнение необходимых организационных мер для защиты ПД от неправомерного или случайного доступа включает в себя:

утверждение перечня лиц, обрабатывающих ПД, и мест хранения ПД;

наличие перечня лиц, имеющих допуск в помещение;

наличие и порядок обмена ПД при их обработке в ИСПДн;

включение в договор условия о конфиденциальности ПД;

наличие электронного журнала обращений на получение ПД;

наличие приказа о составе комиссии по классификации ИСПДн, акта о классификации ИСПДн, модели угроз.

8

Основные мероприятия Оператора ПД

Проверка наличия трансграничной передачи ПД.

В случае ее осуществления принимаются следующие меры:

Выявляются иностранные государства, на территорию которых передаются ПД;

Если государство не обеспечивает адекватной защиты прав субъектов ПД необходимы:

- письменное согласие субъекта ПД; - наличие условия о такой передаче в договоре.

9

Основные мероприятия Оператора ПД

Проверка наличия обработки специальных категорий ПД, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни включает в себя:

выявление основания обработки специальных категорий ПД (например, общедоступные данные, письменное согласие субъекта).

10

Основные мероприятия Оператора ПД

Анализ документов, регулирующих архивное делопроизводство Оператора, которые должны включать в себя:

перечень документов и их сроки хранения; порядок уничтожения документов; утвержденный состав органа, в полномочия которого

входит уничтожение документов.

11

Примерный перечень документов, касающихся обработки ПД

К документам, регулирующим или касающимся обработки персональных данных относятся:

- Положение об обработке ПД работников;

- Положение о неавтоматизированной обработке ПД;

- Утвержденный перечень лиц, обрабатывающих ПД;

- Договоры, заключенные между Компанией и субъектом ПД, в которых подтверждается согласие субъекта ПД на их обработку;

- Документы, подтверждающие ознакомление работников с правилами обработки ПД, с Положением о коммерческой тайне;

12

Примерный перечень документов, касающихся обработки ПД

- Документы, регулирующие архивное делопроизводство и порядок уничтожения документов, в том числе приказ о назначении уполномоченного органа по уничтожению документов с персональными данными, акты об уничтожении;

- Документы с перечнем мер, необходимых для обеспечения условий соблюдения конфиденциальности и сохранности ПД;

- Положение о порядке работы с документами, содержащими конфиденциальную информацию;

- Журнал для пропуска субъекта ПД на территорию Компании;

- Акт классификации информационных систем ПД (ИСПДн);

- Приказ о назначении комиссии по классификации ИСПДн;

- Перечень технических средств, участвующих в обработке ПД.

13

ЗАКЛЮЧЕНИЕ

СПАСИБО ЗА ВНИМАНИЕ!!!

Презентацию для Вас подготовила:

Долганова Наталья Станиславовна — старший юрисконсульт ООО «Управляющая компания «КапиталЪ»

(495)777-01-70 (доб. 2422) Natalya.Dolganova@kapital-am.ru