Документы определяющие политику обработки персональных данных
Приказ №65 от 05.06.2017 г. "Об утверждении перечня обрабатываемых персональных данных"
Приказ №66 от 05.06.2017 г. "О проведении работ по защите персональных данных"
Приказ №67 от 05.06.2017 г. "Об утверждении Правил работы с обезличенными персональными данными"
Форма согласия на обработку персональных данных
Обязательство о неразглашении информации, содержащей персональные данные
Перечень должностей сотрудников, замещение которых предусматривает осуществление обработки персональных данных
Перечень информационных систем персональных данных
Перечень персональных данных, обрабатываемых в государственной информационной системе персональных данных
Правила работы с обезличенными персональными данными Журнал учёта обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данныхПравила обработки персональных данныхИнструкция по резервированию и восстановлению работоспособности технических средств, программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации информационной системы персональных данных
Правила рассмотрения запросов субъектов персональных данных
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Порядок доступа сотрудников МБДОУ № 43 «Рябинушка» в помещения, в которых ведется обработка персональных данных
Инструкция пользователя ИСПДн
Инструкция по обеспечению безопасности персональных данных
Инструкция по организации парольной защиты в информационных системах персональных данных
Инструкция по организации антивирусной защиты в информационных системах персональных данных
Положение о защите персональных данных воспитанников и их родителей
Сфера действия ФЗ №152
Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.
Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.
Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.
Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».
Обязательность выполнения требований законодательства
Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.
Статья 19 Закона № 152-ФЗ:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
3. Регуляторы в сфере защиты персональных данных
Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.
ФСБ РФ(Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.
Сроки выполнения требований законодательства
Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».
Ответственность за неисполнение законодательства по защите персональных данных
Статья
|
Нарушение
|
Ответственность
|
КоАП
|
Статья 5.39. Отказ в предоставлении гражданину информации.
|
Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.
|
Штраф:
на должностных лиц - 500 до 1.000руб.
|
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
|
Штраф: на должностных лиц - 500 до 1.000 руб.; на юридических лиц - 5.000 до 10.000 руб.
|
Статья 13.12. Нарушение правил защиты информации
|
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
|
Статья 13.14. Разглашение информации с ограниченным доступом
|
Разглашение персональных данных.
|
Штраф:
на граждан - от 500 до 1.000 руб.; на должностных лиц - от 4.000 до 5.000 руб.
|
Статья 19.5. Невыполнение в срок законного предписания
|
1. Невыполнение в установленный срок законного предписания Роскомнадзора.
|
Штраф:
на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
|
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.
|
Штраф:
на должностных лиц - от 5.000 до 10.000 руб.; на юридических лиц - от 200.000 до 500.000 руб.
|
Статья 19.7. Непредставление сведений (информации)
|
Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.
|
Штраф:
на должностных лиц - от 300 до 500 руб.; на юридических лиц - от 3.000 до 5.000 руб.
|
Уголовный Кодекс
|
Статья 137. Нарушение неприкосновенности частной жизни
|
Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
|
Штраф до 300.000 руб. или в размере заработной платы или иного дохода
осужденного за период до 2 лет, либо лишение права занимать определенные
должности или заниматься определенной деятельностью на срок до 5 лет.
|
Статья 272. Неправомерный доступ к компьютерной информации
|
Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).
|
Штраф до 200.000 руб.,
либо лишение свободы до 2-х лет.
|
Трудовой Кодекс
|
Статья 81. Расторжение трудового договора по инициативе работодателя.
|
Разглашение персональных данных другого работника.
|
Расторжение трудового договора по инициативе работодателя.
|
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
|
Нарушение норм, регулирующих получение, обработку и защиту персональных данных.
|
Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.
|