Рабочие листы
к вашим урокам
Скачать
1 слайд
"Обработка персональных данных в ОО на примере ГБОУ Школы № 1394"
Кочерова
Анастасия Игоревна
2 слайд
Государственная Дума РФ 24 февраля 2015 года
утвердила в первом чтении штрафы за нарушение правил обработки персональных данных
3 слайд
Государственная Дума РФ 24 февраля 2015 года
утвердила в первом чтении штрафы за нарушение правил обработки персональных данных
4 слайд
РОСКОМНАДЗОР
ФСТЭК РФ
ФСБ РФ
5 слайд
Базовое законодательство в сфере персональных данных (краткий анализ статей ФЗ РФ, основные понятия, относящиеся к ПД).
Регуляторы в области информационной безопасности.
Особенности работы с персональными данными в образовательной организации.
Деятельность образовательной организации в вопросах защиты информации.
Повестка дня:
6 слайд
Под «законодательством» понимается НПА РФ на уровне:
Конституции РФ
Кодексы (КоАП, УК, ТК)
Федеральные законы
Постановления правительства
Документы регуляторов в сфере защиты персональных данных
Отраслевые документы (документы Министерства образования РФ)
Что такое законодательство в сфере персональных данных?
7 слайд
1. Конституция Российской Федерации
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8 слайд
1. Конституция Российской Федерации
Статья 29
4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9 слайд
2. Кодекс об административных правонарушениях
ГЛАВА 13. АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Статья 13.11.1. Распространение информации о свободных рабочих местах или вакантных должностях, содержащей ограничения дискриминационного характера
Статья 13.12. Нарушение правил защиты информации
Статья 13.13. Незаконная деятельность в области защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10 слайд
Федеральный законы РФ
3. Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19.12.2005 г. № 160-ФЗ.
4. Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ.
5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ.
Постановления Правительства Российской Федерации
6. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7. Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11 слайд
8. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
9. Постановление Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Документы регуляторов в сфере защиты персональных данных
10. Приказ Минкомсвязи РФ от 14.11.2011 г. № 312 «Административный регламент проведения проверок Роскомнадзором при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
11. Разъяснения Роскомнадзора от 14.12.2012 г. по вопросам, касающихся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве.
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12 слайд
12. Разъяснения Роскомнадзора от 14.03.2014 г. по вопросам отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки.
13. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
14. Методические рекомендации от 13.12.2013 г. по применению Приказа Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
15. Приказ Роскомнадзора от 14.03.2014 г. «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
16. Приказ ФСЭТЭК РФ от 15.02.2008 г. «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных».
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
13 слайд
17. Приказ ФСЭТЭК РФ от 14.02.2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных».
18. Приказ ФСТЭК РФ от 11.02.2013 г. №17 «Об утверждении требований о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах».
19. Приказ ФСТЭК РФ от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
20. Методический документ ФСТЭК РФ от 11.02.2014 г. «Меры защиты информации в государственных информационных системах».
21. Методические рекомендации ФСБ РФ от 21.02.2008 г. по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
14 слайд
22. Типовые требования ФСБ РФ от 21.02.2008 г. по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации содержащей сведения, не составляющие государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
23. Приказ ФСБ РФ от 10.07.2014 г. «Об утверждении состава и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
24. Приказ ФСБ РФ от 31.03.2015г. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
ОСНОВНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
15 слайд
«Информация»
«Информация ограниченного доступа»
«Персональные данные»
16 слайд
Информация - сведения (сообщения, данные) независимо от формы их представления
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
17 слайд
Информация бывает:
Защищаемая
Незащищаемая
18 слайд
Защищаемая информация —информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Свойства защищаемой информации
Конфиденциальность
Целостность
Доступность
19 слайд
Защищаемая информация:
Общедоступная
Ограниченного
доступа
САЙТ
149-ФЗ
(п.2, ст.5)
20 слайд
Государственная тайна (5485-1)
Коммерческая тайна (98)
Служебная тайна (1233)
Профессиональные тайны
Личная и семейная тайны
Кредитные истории
Инсайдерская информация
(примерно 50 видов тайн)
Персональные данные (152)
Информация ограниченного доступа:
21 слайд
152-ФЗ термины и «понятия»
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что такое «Персональные данные»?
22 слайд
ПДн сотрудников ОО
ПДн обучающихся
ПДн соискателей на вакансию
ПДн практикантов в ОО (если отсутствует законное основание на обработку ПДн – договор между ВУЗом и ОО)
ПДн бывших сотрудников ОО
Какие категории персональные данных обрабатываются в учреждении?
23 слайд
Отдел кадров и бухгалтерия
Учебные подразделения
Письма, обращения, жалобы граждан
Официальный сайт
Электронный дневник, журнал
Медицинский кабинет
Где обрабатываются ПДн в образовательном учреждении:
24 слайд
Что такое обработка ПДн?
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая
сбор
запись
систематизацию
накопление
Хранение
уточнение (обновление, изменение)
извлечение
использование
передачу (распространение, предоставление, доступ)
обезличивание
блокирование
удаление
уничтожение персональных данных.
25 слайд
Обработка осуществляется на законной и справедливой основе
Ограничивается достижением конкретных, заранее определенных и законных целей
Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях
Обработке подлежат только ПДн, которые отвечают целям их обработки
Принципы обработки персональных данных
152-ФЗ
(ст.5)
26 слайд
Принципы обработки персональных данных
5. Содержание и объем ПДн соответствуют заявленным целям обработки. Обрабатываемые данные не должны быть избыточными.
6. Обеспечение точности ПДн, их достаточность, актуальность по отношению к целям обработки
7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки. ПДн подлежат уничтожению или обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.
152-ФЗ
(ст.5)
27 слайд
Обработка ПДн допускается в следующих случаях:
1. С согласия субъекта
2. Необходима для достижения целей, предусмотренных международным договором РФ или ФЗ для осуществления полномочий оператора
3. Необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица
4. Необходима для предоставления государственных или муниципальных услуг в соответствии с ФЗ от 27.07.2010г. №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию на едином и (или) региональном портале госуслуг.
Условия обработки персональных данных
152-ФЗ
(ст.6)
28 слайд
5. Необходима для заключения и (или) исполнения договора, стороной которого или выгодоприобретателем является субъект ПДн
6. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
7. Необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей, при этом не нарушая права и свободы субъекта ПДн
8. Необходима для осуществления профессиональной деятельности
журналиста…что при этом не нарушаются права субъекта ПДн
Условия обработки персональных данных
152-ФЗ
(ст.6)
29 слайд
9. Осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивании ПДн
10. Доступ неограниченного круга лиц предоставлен субъектом (они стали общедоступными)
11. ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ
Условия обработки персональных данных
152-ФЗ
(ст.6)
30 слайд
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку ПДн должно быть:
конкретным;
информированным;
сознательным.
Согласие на обработку персональных данных
152-ФЗ
(ст.9)
31 слайд
ФИО, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
ФИО, адрес представителя субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя.
Наименование или ФИО и адрес оператора, получающего согласие субъекта.
Цель обработки.
Согласие в письменной форме должно включать в себя:
32 слайд
Перечень ПДн, на обработку которых дается согласие.
Наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу.
Перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых способов обработки ПДн.
Срок, в течение которого действует согласие субъекта, а также способ его отзыва, если иное не установлено ФЗ.
Подпись субъекта.
Согласие в письменной форме должно включать в себя:
33 слайд
Когда оператор должен получить письменное согласие:
- включение ПДн в общедоступные источники
- при обработке специальных категорий ПДн
- при обработке биометрических ПДн
- при трансграничной передаче ПДн на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов
В соответствии с Трудовым кодексом:
- при получении ПДн у третьих лиц, в случаях, когда данные нельзя получить у самого работника
- при получении и обработке данных о частной жизни работника в случаях, непосредственно связанных с вопросами трудовых отношений
- сообщение ПДн работника третьей стороне
- сообщение ПДн работника в коммерческих целях
34 слайд
Биометрические данные
35 слайд
Право субъекта персональных данных на доступ к его ПДн (ст. 14, ФЗ-152)
Права субъектов при обработке их ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (ст.15, ФЗ-152)
Права субъектов при принятии решений на основании исключительно автоматизированной обработки их ПДн (ст.16, ФЗ-152)
Право на обжалование действий или бездействия оператора (ст. 17, ФЗ-152)
Права субъекта ПДн
36 слайд
Обязанности оператора при сборе ПДн
Оператор обязан предоставить субъекту по его просьбе информацию об особенностях обработки ПДн субъекта.
Разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные
Если персональные данные получены не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных следующую информацию:
наименование либо фамилия, имя, отчество и
адрес оператора или его представителя
цель обработки ПДн и ее правовое основание
предполагаемые пользователи ПДн
установленные ФЗ РФ от 27.07.2006г. N152-ФЗ
«О персональных данных» права субъекта
источник получения ПДн
152-ФЗ
(ст.18)
37 слайд
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей.
К таким мерам могут, в частности, относиться:
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных
Федеральным законом «О ПДн»
152-ФЗ
(ст.18.1)
38 слайд
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн;
издание документов, определяющих политику в отношении обработки ПДн, локальных актов по вопросам обработки ПДн …
применение правовых, организационных и технических мер по обеспечению безопасности ПДн
осуществление внутреннего контроля и (или) аудита соответствия обработки
оценка потенциального вреда и принятие мер, направленных на его нейтрализацию
ознакомление работников с положениями законодательства РФ о ПДн и (или) обучение указанных работников
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О ПДн»
39 слайд
Оператор должен опубликовать политику (или обеспечить неограниченный доступ) по обработке и защите ПДн
Правительство устанавливает перечень мер направленных на обеспечение выполнение обязанностей операторами, являющимися государственными и муниципальными органами
Оператор обязан предоставлять документы и локальные акты или иным образом подтвердить
принятие вышеуказанных мер по запросу
Роскомнадзора
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О ПДн»
40 слайд
Меры по обеспечению безопасности ПДн при их обработке
Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн).
«Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн» (ФСТЭК России,14.02.2008).
«Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн» (ФСТЭК России, 14.02.2008).
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при их обработке в информационных системах ПДн» (ФСБ России, 21.02.2008).
«Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах ПДн с использованием средств автоматизации» (ФСБ России, 21.02.2008).
41 слайд
Меры по обеспечению безопасности ПДн при их обработке
42 слайд
2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн.
3. Применение сертифицированных СЗИ (прошедших оценку соответствия):
Средство защиты информации от несанкционированного доступа
Антивирусное средство защиты
Межсетевой экран (защита от сетевых угроз)
Средство шифрования информации (криптографические)
Средство контроля (анализа) защищенности информации (сканеры безопасности/ уязвимостей)
Система обнаружения вторжений (СОВ, IDS, HIPS)
Меры по обеспечению безопасности ПДн при их обработке
43 слайд
4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
5. Учет машинных носителей ПДн.
6. Обнаружение фактов НСД к ПДн и принятием мер
7. Восстановление модифицированных или уничтоженных ПДн
8. установление правил доступа к ПДн
9. Регистрация и учет всех действий, совершаемых с ПДн в ИСПДн
10.Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн
Меры по обеспечению безопасности ПДн при их обработке
44 слайд
Оператор обязан сообщить субъекту информацию о наличии ПДн и предоставить возможность ознакомления с ними в течение 30 дней с момента обращения.
В случае отказа (по ст.14 п.8) предоставить информацию, дать мотивированный ответ в письменной форме в течение 30 дней
Внести изменения в ПДн, если они являются неполными, неточными или неактуальными в течение 7 раб. дней
Уничтожить ПДн, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки, в течение 7 раб. дней
Уведомить субъекта или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы
Сообщить в Роскомнадзор необходимую
информацию в течение 30 дней
Обязанности оператора при обращении субъекта, а также Роскомнадзора
152-ФЗ
(ст.20)
45 слайд
Обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн
1.Заблокировать неправомерно обрабатываемые ПДн в случае выявления неправомерной обработки ПДн.
2. Уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение 7 раб. дней и снять блокирование ПДн.
3. В случае достижения цели обработки, обязан прекратить обработку и уничтожить ПДн в срок до 30 дней с даты достижения цели.
4. При отзыве согласия прекратить обработку ПДн и если их сохранение больше не требуется, уничтожить ПДн в срок не превышающий 30 дней с даты отзыва.
5. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в частях 3 - 5 ст.20. ФЗ-152 оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев если иной срок не установлен федеральными законами.
152-ФЗ
(ст.21)
46 слайд
Уведомление должно содержать:
Наименование (фамилия, имя, отчество), адрес оператора
Цель обработки
Категории ПДн
Категории субъектов
Правовое основание обработки
Перечень действий с ПДн, общее описание способов обработки
Описание мер, в т.ч. сведения о наличии шифровальных
(криптографических) средств и наименования этих средств
Уведомление об обработке ПДн
152-ФЗ
(ст.22)
47 слайд
Уведомление должно содержать:
ФИО физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты
Дата начала обработки ПДн
Срок или условие прекращения обработки
Сведения о наличии или об отсутствии трансграничной передачи в процессе их обработки
Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ
Уведомление об обработке ПДн
152-ФЗ
(ст.22)
48 слайд
Как узнать, что уведомление принято?
Сколько раз нужно подавать уведомление?
Когда Роскомнадзор может прийти в организацию с проверкой?
49 слайд
Когда ФСБ РФ может прийти в организацию с проверкой?
Когда ФСТЭК может прийти в организацию с проверкой?
50 слайд
Спасибо за внимание!
Рабочие листы
к вашим урокам
Скачать
6 654 780 материалов в базе
Настоящий материал опубликован пользователем Тюрихина Анастасия Игоревна. Инфоурок является информационным посредником и предоставляет пользователям возможность размещать на сайте методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Удалить материалВаша скидка на курсы
40%Курс повышения квалификации
72 ч.
Курс повышения квалификации
36 ч. — 144 ч.
Курс повышения квалификации
72 ч.
Мини-курс
6 ч.
Мини-курс
4 ч.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.