Защита персональных данных

1. Ксения Шудрова
Защита персональных
данных
2015
Shudrova.blogspot.ru

2. Цифры года
• Рост на 200% обращений граждан, 10% доводов
подтверждено.
• Поданы исковые заявления в суд на 96 интернет-
ресурсов.
• Штрафы: 5 336 804 рублей.
• 1006 плановые и 184 внеплановых проверок – 684
предписания.

3. Статья 13.11 КоАП
• Нарушение установленного законом порядка сбора,
хранения, использования или распространения
информации о гражданах (персональных данных) -
• влечет предупреждение или наложение
административного штрафа на граждан в размере от
трехсот до пятисот рублей; на должностных лиц - от
пятисот до одной тысячи рублей; на юридических лиц
- от пяти тысяч до десяти тысяч рублей.

4. Европейская конвенция
• Федеральный закон от 19.12.2005 N 160-ФЗ
• «О ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке
персональных данных».
• Цель Конвенции: обеспечение прав и основных
свобод человека, в первую очередь права на
неприкосновенность личной сферы.

5. • «Персональные данные» означают информацию,
касающуюся конкретного или могущего быть
идентифицированным лица («субъекта данных») -
статья 2 Конвенции.
• Персональные данные - любая информация,
относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту
персональных данных) – статья ФЗ «О персональных
данных».
Определение персональных данных

6. Персональные данные, проходящие автоматическую
обработку:
• должны быть получены и обработаны законно;
• должны накапливаться для точно определенных и
законных целей;
• должны быть адекватными не быть избыточными;
• должны быть точными и в случае необходимости
обновляться;
• должны храниться не дольше, чем этого требует цель.
Основные требования Конвенции

7. • Запрещается требовать от гражданина
предоставления информации о его частной жизни и
получать такую информацию помимо воли
гражданина, если иное не предусмотрено законом.
• Порядок доступа к персональным данным граждан
устанавливается федеральным законом о
персональных данных.
Закон 149-ФЗ

8. • Сведения о фактах, событиях и
обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность
(персональные данные), за исключением
сведений, подлежащих распространению в
средствах массовой информации в
установленных федеральными законами
случаях.
Указ Президента РФ

9. • Принципы и условия обработки персональных
данных.
• Права субъекта персональных данных.
• Обязанности оператора.
• Контроль и надзор за обработкой
персональных данных.
• Ответственность за нарушения.
ФЗ № 152 «О персональных данных»

10. • Требования к содержанию письменного согласия
определяются Федеральным законом «О персональных
данных», отсутствие необходимой информации в форме
является нарушением.
• Примеры целей: исполнение договорных отношений с
«ХХХ» или осуществление трудовых отношений с «ХХХ».
• Срок действия можно сформулировать следующим
образом: «Согласие вступает в силу со дня передачи мною
персональных данных в «ХХХ» и действует до момента
расторжения Договора с погашением задолженности по
Договору».
Форма согласия

11. Согласие на обработку

12. По закону в обязанности ЛОЗООПД входит:
• осуществление внутреннего контроля за соблюдением
законодательства Российской Федерации о персональных
данных;
• доведение до сведения работников положений
законодательства Российской Федерации о персональных
данных, локальных актов;
• организация приема и обработки обращений и запросов
субъектов персональных данных и (или) осуществление
контроля за приемом и обработкой таких обращений.
ЛОЗООПД

13. • Непредоставление уведомления влечет предупреждение
или наложение административного штрафа на
должностных лиц - от трехсот до пятисот рублей; на
юридических лиц - от трех тысяч до пяти тысяч рублей.
• В новую форму была добавлена графа информации об
ответственном за организацию обработки персональных
данных лице.
• В случае, если ранее уведомление организацией
подавалось, но по старой форме, вносить изменения
можно по закону до января 2013 года.
Уведомление об обработке

14. Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа
Специальные категории персональных данных
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 1 уровень (если более
100000 субъектов)
2 уровень (если менее
100000)
2 уровень (если более 100000 субъектов)
3 уровень (если менее 100000 субъектов)
Биометрические персональные данные
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 2 уровень 3 уровень
Общедоступные персональные данные
-сотрудников 2 уровень 3 уровень 4 уровень
-не сотрудников 2 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
4 уровень
Иные персональные данные (не специальные, не биометрические, не общедоступные)
-сотрудников 1 уровень 3 уровень 4 уровень
-не сотрудников 1 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
3 уровень (если более 100000 субъектов)
4 уровень (если мене 100000 субъектов)

15. Класс или уровень?
1 уровень 2 уровень 3 уровень 4 уровень
1 класс + + + +
2 класс - + + +
3 класс - - + +
4 класс - - - +

16. • Основные мероприятия по организации и техническому
обеспечению безопасности персональных данных,
обрабатываемых в информационных системах
персональных данных.
• Рекомендации по обеспечению безопасности
персональных данных при их обработке в информационных
системах персональных данных.
• Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных.
• Базовая модель угроз безопасности персональных данных
при их обработке в информационных системах
персональных данных.
Четверокнижие

17. Некоторые из требований – обязательное присутствие
следующих документов:
• перечень информационных систем персональных данных;
• перечни персональных данных;
• перечень должностей;
• должностная инструкция ответственного за организацию
обработки персональных данных в государственном или
муниципальном органе;
• типовое обязательство служащего государственного или
муниципального органа;
• порядок доступа служащих государственного или
муниципального органа в помещения, в которых ведется
обработка персональных данных.
Постановление Правительства 211

18. Приказ 21 ФСТЭК
• Этап 1. Определение базового набора мер защиты.
• Этап 2. Адаптация базового набора мер.
• Этап 3. Уточнение списка мер.
• Этап 4. Добавление дополнительных мер.
• Этап 5 (необязательный). Выбор компенсирующих
мер.

19. • Должна быть возможность определения места хранения
персональных данных и установления перечня лиц,
осуществляющих обработку персональных данных либо
имеющих к ним доступ.
• Необходимо обеспечивать раздельное хранение персональных
данных.
• При хранении материальных носителей должен исключаться
несанкционированный доступ.
• Перечень мер защиты, порядок их принятия, а также перечень
лиц, ответственных за реализацию указанных мер,
устанавливаются оператором.
Неавтоматизированная обработка

20. • Утверждение приказа о назначении ответственных лиц.
• Анализ информационной системы.
• Разработка формы согласия на обработку ПДн.
• Получение согласия сотрудников и клиентов на обработку ПДн.
• Утверждение приказа о создании комиссии по классификации ИСПДн.
• Классификация ИСПДн.
• Подача уведомления в Роскомнадзор.
• Разработка и утверждение моделей угроз безопасности ПДн по
требованиям ФСТЭК и ФСБ.
• Разработка и утверждение частного технического задания на систему
защиты.
• Работа с подрядчиком по поставке, установке и настройке средств
защиты.
• Разработка и утверждение нормативной документации.
Основные этапы работ

21. 1. Истечение срока исполнения Оператором ранее выданного предписания об
устранении выявленного нарушения.
2. Поступление в Службу или ее территориальные органы информации о следующих
фактах:
• Возникновение угрозы причинения вреда жизни, здоровью граждан.
• Причинение вреда жизни, здоровью граждан.
3. Приказ руководителя Службы или руководителя территориального органа Службы,
изданный в соответствии с поручениями Президента Российской Федерации,
Правительства Российской Федерации.
4. Нарушение прав и законных интересов граждан действиями (бездействием)
Операторов при обработке их персональных данных.
5. Нарушение Операторами требований законодательства в области персональных
данных, а также несоответствие сведений, содержащихся в уведомлении,
фактической деятельности.
Причины проведения внеплановой проверки

22. • Подача неполных сведений в уведомлении.
• Отсутствие документов об ознакомлении работников с
документами работодателя.
• Непринятие организационных мер для защиты
персональных данных.
• Несоблюдение требований к содержанию письменного
согласия субъекта персональных данных, а также обработка
персональных данных без согласия субъекта.
• Осуществление обработки персональных данных близких
родственников кандидатов при приеме на работу без их
согласия.
• Отсутствие условия договора об обязанности обеспечения
конфиденциальности персональных данных при их
передаче третьим лицам.
Основные нарушения 1

23. • Передача персональных данных третьим лицам без получения
согласия субъекта.
• Отсутствие перечня лиц, осуществляющих обработку и
имеющих доступ к персональным данным.
• Отсутствие сведений о назначении ответственного за
организацию обработки персональных данных.
• Отсутствие документов, определяющих политику в отношении
обработки персональных данных.
• Отсутствие документа, определяющего оценку вреда, который
может быть причинен субъектам персональных данных.
Основные нарушения 2

24. • Вначале устраняются наиболее часто
встречающиеся нарушения.
• При поступлении уведомлении о предстоящей
внеплановой проверке, необходимо заранее
подготовить помещение, документацию, а
также попытаться устранить нарушение.
• Необходимо оперативно готовить новую
документацию по требованиям комиссии и
вносить изменения в старую.
Памятка по прохождению проверки

25. Вопросы?
Shudrova.blogspot.ru
shudrova87@mail.ru