Слайд 1Защита, обработка и хранение персональных данных
Управление Роскомнадзора по Республике Карелия
Слайд 2Нормативно-правовое регулирование:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее – Федеральный закон № 152-ФЗ);
постановление Правительства Российской Федерации от 15.09.2008
№ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (контроль - ФСТЭК и ФСБ).
Слайд 3Федеральный закон № 152-ФЗ
Обработка персональных данных должна осуществляться на законной
и справедливой основе и ограничиваться достижением конкретных, заранее определенных и
законных целей
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей
Слайд 4Договор поручения
Оператор вправе с согласия субъекта ПД
поручить обработку персональных данных другому лицу на основании заключаемого с
этим лицом договора (ч. 3 ст. 6 Федерального закона №152-ФЗ)
В договоре поручения должны содержаться:
-перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД по поручению;
- цели обработки;
- должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
- должны быть указаны требования к защите обрабатываемых персональных данных.
Слайд 5Обязанности оператора при обращении к нему субъекта персональных данных
В
случае поступления запроса субъекта персональных данных – ответ в течение
30 дней с даты получения запроса (ч. 1 и 2 ст. 20);
Поступление требования субъекта персональных данных об уточнении, блокировании или уничтожении ПД, в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки – порядок и сроки выполнения требования установлены статьями 20 и 21.
Невыполнение обязанностей влечет административную ответственность по ст.13.11 КоАП РФ
Слайд 6Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных федеральным законом
1)
назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих
политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ,;
6) ознакомление работников оператора, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Слайд 7Доступ к документу, определяющему его политику в отношении обработки персональных
(ч. 2 ст. 18.1)
Оператор обязан опубликовать или иным образом
обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (далее – Политика) , к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать Политику в соответствующей информационно-телекоммуникационной сети, а также сведения о реализуемых требованиях к защите персональных данных
Слайд 8Постановление Правительства РФ от 15.09.2008 N 687 (без использования средств
автоматизации)
должен быть определен перечень сотрудников, осуществляющих обработку ПД без использования
средств автоматизации, а также перечень мест хранения ПД в отношении каждой категории персональных данных;
лица, осуществляющие обработку ПД, должны быть проинформированы о факте обработки ими ПД, обработка которых осуществляется без использования средств автоматизации, а также об особенностях и правилах осуществления такой обработки;
типовые формы (формы заявлений, анкет и т.д.) – должны соответствовать требованиям пункта 7 Положения, утвержденного ППРФ № 687;
журнал пропуска на территорию – необходимость его ведения должна быть предусмотрена локальным актом оператора (содержащим цели, способ фиксации и состав информации, перечень лиц, имеющих доступ, сроки обработки, порядок пропуска на территорию);
должно быть обеспечено раздельное хранение ПД, обрабатываемых в разных целях.
Слайд 9Уведомление об обработке персональных данных (ст. 22)
На портале персональных данных
https://pd.rkn.gov.ru/ найти свою организацию:
Если отсутствует в реестре – подать
уведомление;
Если оператор внесен в реестр – проверить сведения, при необходимости направить информационное письмо.
Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения утверждены приказом Роскомнадзора от 30.05.2017 № 94 .
Консультация по заполнению – 44-50-77
Слайд 10Федеральный закон от 28.12.2013 № 442-ФЗ «Об основах социального обслуживания
граждан в Российской Федерации»
Социальное обслуживание осуществляется в том числе на
основании принципа конфиденциальности (пункт 6 части 2 статьи 4 Федерального закона № 442-ФЗ).
Статья 6 . Конфиденциальность информации о получателе социальных услуг
Не допускается разглашение информации о получателях социальных услуг лицами, которым эта информация стала известна в связи с исполнением профессиональных, служебных и (или) иных обязанностей.
С согласия получателя социальных услуг или его законного представителя, данного в письменной форме, допускается передача информации о получателе социальных услуг другим лицам, в том числе должностным лицам, в интересах получателя социальных услуг или его законного представителя, включая средства массовой информации и официальный сайт поставщика социальных услуг в информационно-телекоммуникационной сети «Интернет»
Слайд 11Предоставление информации о получателе социальных услуг без его согласия или
без согласия его законного представителя допускается (ч.3 ст. 6 :
1)
по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством либо по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора;
2) по запросу иных органов, наделенных полномочиями по осуществлению государственного контроля (надзора) в сфере социального обслуживания;
3) при обработке персональных данных в рамках межведомственного информационного взаимодействия, а также при регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг в соответствии с законодательством об организации предоставления государственных и муниципальных услуг;
4) в иных установленных законодательством Российской Федерации случаях.