защита персональных данных в ЛУ
.PDF
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1.Требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
2.Принимать в установленном законодательством Российской Федерации порядке
меры по приоставновлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
3.Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
4.Направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательство РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
5.Направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
6.Привлекать к административной ответственности лиц, виновных в нарушении Федерального закона.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Ответственность за нарушение требований Федерального закона «О персональных данных» (ст. 24):
Лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Сроки реализации требований Федерального закона «О персональных данных» (ст. 25):
После дня вступления в силу Федерального закона (27.01.2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом.
ИСПДн, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее
1 июля 2011 года.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Государственный контроль и надзор за выполнением требований по обеспечению безопасности персональных данных:
Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона возлагается на федеральный орган Исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).
Ст. 23, ч. 1 ФЗ № 152
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Государственный контроль и надзор за выполнением требований по обеспечению безопасности персональных данных - 2:
Контроль и надзор за выполнением технических требований по защите персональных данных осуществляются ФСБ России и ФСТЭК России в
пределах их полномочий и без права ознакомления с Персональными данными, обрабатываемыми в ИСПДн.
Ст. 19, ч. 3 ФЗ № 152
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Государственный контроль и надзор за выполнением требований по обеспечению безопасности персональных данных - 3:
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оценивается при проведении государственного контроля и надзора.
Постановление Правительства РФ 2007 г. № 781
Порядок осуществления государственного контроля и надзора Роскомнадзором установлен «Административным регламентом
проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных»
Приказ Роскомнадзора от 01.12.2009 г. № 630
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан
уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Ст.21, ч.3 ФЗ № 152
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Проверяемые вопросы (в соответствии с Административным регламентом):
1)Рассмотрение документов Оператора, в том числе:
I. Уведомление об обработке персональных данных;
II.Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
III.Документов, подтверждающих выполнение Оператором предписаний об
устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
IV. Письменного согласия субъекта персональных данных на обработку его персональных данных;
V.Документов, подтверждающих соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
VI. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
VII. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.
2)Исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов, обрабатываемых в ней.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Постановление Правительства РФ от 17 ноября 2007 г. № 781):
Документ устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДН, в том числе:
I.Возлагает на ФСТЭК РФ и СБ РФ разработку методов и способов защиты ПДн в информационных системах;
II.Возлагает на оператора ПДн задачу обеспечения безопасности ПДн и обязанность классификации ИСПДн;
III.Устанавливает, что работы по обеспечению безопасности ПДн являются неотъемлемой частью работ по созданию ИСПДн;
IV. Устанавливает, что безопасность ПДн обеспечивается с помощью создаваемой оператором СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Постановление Правительства РФ от 17 ноября 2007 г. № 781) -2:
V.Устанавливает, что средства защиты ПДн должны пройти оценку соответствия (во ФСТЭК России или ФСБ России);
VI. Определяет, что достаточность принятых мер по обеспечению безопасности ПДн оценивается при проведении государственного контроля и надзора;
VII. При обработке ПДн в ИСПДн должно быть обеспечено:
a.Проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
b.Своевременное обнаружение фактов НСД к ПДн;
c.Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
d.Возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
e.Постоянный контроль за обеспечением уровня защищенности ПДн.